Analyse TA505 Ransomware Aanval - Universiteit Maastricht

De aanval op de Universiteit Maastricht (UM) in 2019 is een schoolvoorbeeld van een gerichte ransomware-operatie door een Advanced Persistent Threat (APT) actor, genaamd TA505. De aanvallers maakten gebruik van de "Double Extortion" tactiek: data werd niet alleen versleuteld, maar ook gestolen om de druk op de universiteit te verhogen.

15-16 Oktober 2019 Infectie via spear-phishing mail met een malafide Excel-bijlage (Get2-loader).

21 November 2019 Escalatie naar Domain Admin rechten door misbruik van zwakke configuraties en credential dumping.

December 2019 Exfiltratie van gevoelige data naar externe servers van de aanvallers.

23-24 December 2019 Massale uitrol van de Clop-ransomware; 267 Windows-servers worden versleuteld.

Bekijk de officiële samenvatting van de UM →

De TA505 operatie doorliep elke stap van de Kill Chain met hoge precisie:

Fase	Technische Uitvoering bij UM
Reconnaissance	In kaart brengen van medewerkers via openbare bronnen voor phishing.
Weaponization	Integratie van de Get2-loader in malafide Excel-macro's.
Delivery	Verzenden van phishing-mails die inspeelden op de nieuwsgierigheid van ontvangers.
Exploitation	Uitvoering van de macro na opening door de gebruiker, leidend tot de SDBbot RAT.
Installation	Backdoors geïnstalleerd voor blijvende toegang (persistentie).
C2	Communicatie met Command & Control servers via versleutelde kanalen.
Exfiltration	Diefstal van data (Double Extortion) vóór de uiteindelijke encryptie.
Objectives	Volledige encryptie van kritieke infrastructuur met Clop.

Meer over de Cyber Kill Chain →

De aanvalstechnieken van TA505 zijn direct te mappen op het MITRE ATT&CK framework:

T1566.001 Spearphishing Attachment: Initiële toegang via Excel-bijlagen.
T1003 OS Credential Dumping: Oogsten van administrator-wachtwoorden uit het geheugen.
T1562.001 Impair Defenses: Uitschakelen van antivirus en security logging op servers.
T1021.001 Remote Desktop Protocol: Laterale beweging door het netwerk.
T1486 Data Encrypted for Impact: De finale stap met Clop-ransomware.

Bekijk TA505 Groepsprofiel op MITRE →

EDR (Endpoint Detection & Response)

Een EDR-oplossing had de AMSI-bypass (Antimalware Scan Interface) moeten detecteren. TA505 gebruikt vaak PowerShell-scripts die in het geheugen worden uitgevoerd. EDR herkent de verdachte patronen in gedrag (fileless execution) die traditionele antivirus mist.

SIEM (Security Information & Event Management)

Het SIEM had alerts moeten genereren op basis van MFA-loze inlogpogingen en afwijkende administrator-activiteit. Monitoring op de integriteit van backup-logs had kunnen voorkomen dat de herstelmogelijkheden van de UM werden gesaboteerd.

YARA & Memory Scanning

Omdat de SDBbot RAT vaak in het werkgeheugen verblijft, is memory scanning essentieel. Hieronder een voorbeeld van een (vereenvoudigde) YARA-rule om sporen van de malware te detecteren:

rule SDBbot_Memory_Pattern {
    meta:
        description = "Detecteert strings geassocieerd met SDBbot RAT"
        author = "Security Analysis"
    strings:
        $s1 = "sdbbot" nocase
        $s2 = "work_mode"
        $s3 = "get_config"
    condition:
        2 of them
}
                    

Door dergelijke regels periodiek te draaien over het RAM van kritieke servers, had de aanwezigheid van de aanvallers ontdekt kunnen worden voordat de data-exfiltratie voltooid was.

1. Toelichting & Tijdlijn

2. Cyber Kill Chain Analyse

3. MITRE ATT&CK Mapping

4. Preventie: EDR, SIEM & YARA

EDR (Endpoint Detection & Response)

SIEM (Security Information & Event Management)

YARA & Memory Scanning