Cyberaanval op TU Eindhoven: één waakzame medewerker voorkwam miljoenen¬schade

In dit artikel:

Begin januari 2025 drong een aanvaller via de VPN-omgeving van de Technische Universiteit Eindhoven binnen met gestolen inloggegevens die op het darkweb circuleerden. Omdat er toen geen multi-factor authenticatie actief was, kreeg de dader snel toegang tot het interne netwerk. In de dagen daarna werden beheerdersrechten in Active Directory verworven, remote-accesssoftware zoals AnyDesk en TeamViewer geïnstalleerd en pogingen gedaan om back-ups buiten werking te stellen — gedragingen die typisch zijn voor een voorbereiding op ransomware.

Op zaterdagavond 11 januari viel SURFsoc een afwijking op; vrijwel tegelijk merkte een TU/e-medewerker een verdachte melding en zette het incidentresponsproces in gang. Nog diezelfde nacht zette de universiteit alle systemen offline, waardoor de aanval werd afgebroken voordat encryptie of grootschalige datadiefstal kon plaatsvinden. Desondanks lag het netwerk ongeveer een week plat: onderwijs en onderzoek werden ernstig verstoord en ongeveer 2 gigabyte aan systeemdata lekte naar de aanvaller.

Forensisch onderzoek door Fox-IT en overleg met SURF benadrukt dat tijdige detectie, directe opschorting van services, netwerksegmentatie en betrouwbare, getestte back-ups cruciaal zijn om escalatie te voorkomen. De casus toont ook het belang van een goed functionerend Security Operations Center en van nauwe samenwerking tussen IT-beheer en crisismanagement.

Het artikel is geschreven door Patrick Jordens van The Trusted Third Party (TT3P), die met deze casus wil waarschuwen en leren delen: echte incidenten geven praktische aanwijzingen welke beheersmaatregelen organisaties het beste kunnen versterken om digitale weerbaarheid te vergroten.