Cyberaanval op TU Eindhoven: één waakzame medewerker voorkwam miljoenen¬schade
In januari 2025 werd de Technische Universiteit Eindhoven het doelwit van een gecoördineerde cyberaanval. Wat begon als een onopvallende inlog via het VPN-systeem, groeide in enkele dagen uit tot een bijna-ransomwareincident dat de hele universiteit had kunnen platleggen. Dankzij de alertheid van één medewerker en het snelle optreden van Fox-IT en SURF bleef de schade beperkt.
Deze aanval laat zien hoe kwetsbaar zelfs hoogtechnologische organisaties zijn en hoe cruciaal snelle detectie, segmentatie en betrouwbare back-ups zijn om escalatie te voorkomen.
Wat er gebeurde
Op 6 januari 2025 logde een aanvaller via het VPN-systeem van TU/e in met geldige gebruikersgegevens die eerder op het darkweb waren verschenen. Omdat op dat moment geen multi-factor authenticatie was ingeschakeld, kreeg de aanvaller vrij toegang tot het interne netwerk.
In de dagen die volgden verkreeg de dader beheerrechten in Active Directory, installeerde remote-toegangstools zoals AnyDesk en TeamViewer, en probeerde zelfs de back-ups uit te schakelen. Dat past bij het typische patroon van een ransomwarevoorbereiding.
Rond tien uur ’s avonds op zaterdag 11 januari sloeg SURFsoc alarm. Tegelijkertijd zag een medewerker van TU/e zelf een verdachte melding en trapte het incidentresponsproces af. Nog diezelfde nacht werd de universiteit volledig offline gehaald. Daarmee werd de aanval gestopt voordat versleuteling of grootschalige datadiefstal kon plaatsvinden.
De impact
Een week lang lag het netwerk van TU/e plat. Onderwijs en onderzoek konden niet doorgaan, medewerkers hadden geen toegang tot hun systemen. Hoewel er geen ransomware werd uitgerold en slechts ongeveer 2 gigabyte aan systeemdata naar de aanvaller lekte, was de verstoring groot.
Volgens Fox-IT toont het incident aan dat tijdige detectie en kordaat crisismanagement het verschil maken tussen herstel en catastrofe.
Wat we hiervan kunnen leren
Uit de forensische analyse kwamen vier lessen die voor elk bedrijf relevant zijn.
- Activeer multi-factor authenticatie op alle externe toegangspunten, zeker VPN.
- Beperk netwerktoegang door segmentatie en monitoring op netwerkniveau.
- Bescherm back-ups tegen manipulatie en test hun herstelbaarheid.
- Monitor ‘break-glass’-accounts en andere noodinlogvoorzieningen actief.
De TU/e-case illustreert ook hoe waardevol een Security Operations Center (SOC) en goede samenwerking tussen IT-beheer en crisismanagement zijn.
Serie: leren van echte hacks
Bij TT3P geloven we dat inzicht in echte aanvallen de beste bescherming is. Daarom plaatsen we op Dutch IT Channel dit blogartikel waarin we recente hacks ontleden: wat er precies gebeurde, hoe de aanvallers binnenkwamen en welke eenvoudige maatregelen het hadden kunnen voorkomen.
Ons doel is niet sensatie, maar bewustwording. Want alleen door kennis te delen wordt Nederland digitaal veiliger.
Door: Patrick Jordens, The Trusted Third Party (TT3P)
Over de auteur
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is bestuurslid Digitalisering en Digitale Veiligheid bij MKB Westland en directeur van cybersecuritybedrijf The Trusted Third Party (TT3P). Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam en de Haagse Hogeschool.TT3P helpt organisaties met risico-inventarisaties, pentesting, awareness trainingen en Remote Security Officer-diensten.
