Digitale weerbaarheid

Digitale overtredingen: 10 cyberaanvallen gericht op de sportwereld

12 minuten leestijd

door Romy Tump

Een overzicht van 10 cyberaanvallen tegen de sportindustrie laat zien waarom elk team zijn ogen op de bal moet houden als het aankomt op hun beveiligingshouding.

De Olympische Spelen, de wereldbeker voetbal en de Super Bowl zijn slechts een paar voorbeelden van iconische sportevenementen die het wereldwijde belang van de professionele sportindustrie laten zien.

Maar terwijl professionele sporten passie en emotie opwekken bij fans, geven cybercriminelen niets om de competitieve aspecten van sport of het gemeenschapsgevoel. In plaats daarvan zullen ze meedogenloos proberen om het bereik en de middelen van de sector uit te buiten in een poging om hun zakken te vullen met onverdiend geld. Deze grimmige realiteit wordt weerspiegeld in gegevens. Volgens een onderzoek uit 2020 voor het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk, dat we hier ook hebben besproken, heeft maar liefst 70% van de sportorganisaties minstens één cyberincident of schadelijke cyberactiviteit meegemaakt. Dit overtrof overigens ruimschoots het cijfer (32%) voor algemene bedrijven in het Verenigd Koninkrijk. Aangezien de Europese sportindustrie alleen al goed is voor meer dan 2% van het BBP van het continent, staat er onmiskenbaar veel op het spel.

In afwachting van de komende Olympische Zomerspelen 2024 in Parijs, kijken we naar 10 gevallen waarin sportorganisaties het slachtoffer werden van cyberaanvallen.

De 10 gevallen waarin sportorganisaties het slachtoffer werden van cyberaanvallen

1. BEC-draaiboek

In het eerder genoemde NSCS-rapport werd BEC-fraude (Business Email Compromise) aangewezen als de grootste dreiging voor sportorganisaties. Om dit duidelijk te maken werd een incident beschreven waarbij het e-mailaccount van de algemeen directeur van een niet nader genoemde Premier League club werd gecompromitteerd tijdens onderhandelingen over een spelerstransfer ter waarde van £1 miljoen (1.166.050,00 euro).

De spear phishing aanval lokte het slachtoffer naar een nep Office 365 inlogpagina waar hij onbewust zijn inloggegevens afgaf. De criminelen probeerden vervolgens een BEC-fraude uit te voeren ter waarde van het bovenstaande bedrag. Gelukkig greep de bank op het laatste moment in, hierdoor voorkwam de fraude.

Een andere prominente voetbalclub, het Italiaanse Lazio Rome, leek echter minder geluk te hebben. Volgens rapporten uit 2018 werd Lazio erin geluisd om een transfersom ter waarde van 2,3 miljoen euro te betalen op een bankrekening die onder controle stond van de oplichters.

2. Gekneld door ransomware

In november 2020 werd Manchester United het slachtoffer van een ransomware-aanval die de digitale activiteiten van de club verstoorde. Zoals gebruikelijk bij ransomware-aanvallen, eisten de criminelen losgeld in ruil voor het ontsleutelen van de gegevens en het herstellen van de toegang tot de computersystemen van de club.

'Man U' haalde zijn systemen snel offline om de schade te beperken en te voorkomen dat de ransomware zich verder over het netwerk zou verspreiden. Ze namen ook contact op met cyberbeveiligingsdeskundigen en wetshandhavingsinstanties om het incident te onderzoeken en de omvang ervan vast te stellen. Uiteindelijk kon 'Man U' de aanval onder controle krijgen en zijn systemen herstellen zonder het losgeld te betalen.

Om bij het onderwerp ransomware-aanvallen te blijven: de San Francisco 49ers, één van de populairste NFL-franchises, kondigde in 2022 aan dat de gevoelige informatie van 20.000 werknemers en fans in gevaar was gebracht tijdens een ransomware-aanval eerder dat jaar. Interessant genoeg stemde de organisatie ermee in om de slachtoffers te compenseren.

3. Olympische malware

De openingsceremonie van de Olympische Winterspelen 2018 in Pyeongchang, Zuid-Korea, werd gecrasht door een onverwachte gast - Olympic Destroyer malware. De kwaadaardige software trof de IT-infrastructuur van het evenement, waardoor de activiteiten tijdens de ceremonie werden verstoord en er chaos ontstond voor toeschouwers. Het schakelde onder andere Wi-Fi-hotspots en televisie-uitzendingen uit en zorgde ervoor dat toeschouwers het evenement niet konden bijwonen.

De aanval wist systematisch kritieke informatie op getroffen Windows-systemen. Bovendien zocht de malware netwerklocaties op om zich verder te verspreiden, waardoor de schade aan verbonden apparaten nog groter werd. Bovendien kon Olympic Destroyer geavanceerde software installeren om in het geheim wachtwoorden te achterhalen.

De aanval, die wordt toegeschreven aan Sandworm en Fancy Bear APT-groepen, was voornamelijk gericht op de officiële website van het evenement, de servers van de skioorden waar de Olympische wedstrijden werden gehouden en twee IT-serviceproviders die de technische infrastructuur van het evenement beheerden. De inval maakte duidelijk hoe kwetsbaar prominente sportevenementen zijn voor cyberdreigingen.

4. Je medische geschiedenis is nu openbaar

Olympic Destroyer was niet het enige geval waarbij een cyberspionagegroep het gemunt had op een prominente internationale sportorganisatie. In 2016 lekte een ernstig gegevenslek naar het World Anti-Doping Agency (WADA), waarbij de medische informatie van een aantal mondiale sportpersoonlijkheden werd blootgelegd.

Het incident, waarvan onder andere de tennissers Venus en Serena Williams en turnster Simone Biles het slachtoffer werden, legde de Therapeutic Use Exemptions (TUE's) van atleten bloot, die hen toestaan om verboden stoffen of methoden te gebruiken zolang deze zijn voorgeschreven om legitieme medische aandoeningen te behandelen. Het WADA schreef de aanval toe aan de Fancy Bear groep en zei dat de inbreuk niet alleen de integriteit van het TUE-programma van het WADA ondermijnde, maar ook een dreiging vormde voor de bredere missie van het agentschap om de eerlijkheid en zuiverheid van sport te behouden.

5. Een heleboel gegevens

In maart 2023 waarschuwde de National Basketball Association (NBA) voor een datalek bij één van haar externe mailproviders, waarbij namen en e-mailadressen van fans waren gestolen. Hoewel de systemen van de NBA onaangetast bleven, onderstreepte het incident de kwetsbaarheid van externe serviceproviders voor cyberdreigingen.

In de verklaring over het incident werden ontvangers geadviseerd om waakzaam te blijven voor mogelijke phishing en social engineering aanvallen die gebruik zouden kunnen maken van de gestolen informatie. De NBA verzekerde gebruikers dat hun gebruikersnamen en wachtwoorden niet in gevaar waren gebracht. Desalniettemin activeerde de organisatie haar incident response protocollen en voerde een grondig onderzoek uit om het incident verder te analyseren.

Hoewel de eigen systemen van de NBA niet waren gekraakt, leidde de compromittering van een externe nieuwsbriefdienstverlener tot de diefstal van informatie van mensen. Deze inbreuk onderstreepte het belang van het waarborgen van de beveiliging van alle componenten binnen het ecosysteem van een organisatie, evenals de beveiligingshouding van externe serviceproviders. Het versterken van cyberbeveiligingsmaatregelen en het opstellen van robuuste protocollen voor het monitoren van en reageren op incidenten zijn essentieel voor het beperken van de impact die dergelijke inbreuken kunnen hebben op organisaties en hun klanten.

6. "Houston, we have a problem”

De iconische zin "Houston, we have a problem” dook weer op in april 2021, toen de Houston Rockets het slachtoffer werden van een cyberaanval door de bende achter de Babuk ransomware.

Deze aanval had ernstige gevolgen voor één van de meest prominente teams van de NBA. De aanvallers claimden verantwoordelijk te zijn voor het lekken van meer dan 500 GB aan vertrouwelijke informatie, waaronder gevoelige gegevens zoals spelerscontracten, klantgegevens en financiële details.

Hoewel de Babuk ransomware misschien niet tot de meest geavanceerde ransomware-stammen behoort, was de impact aanzienlijk. De aanval vormde ook een risico voor organisaties in andere sectoren, waaronder de gezondheidszorg en de logistieke sector. Dergelijke incidenten benadrukken de ongedifferentieerde aard van cyberdreigingen en de dringende behoefte aan robuuste cyberbeveiligingsmaatregelen in alle sectoren.

7. Geen uitweg

Laten we het even hebben over cyberaanvallen in de basketbalwereld. In een basketbalwedstrijd wordt het einde van een kwart aangegeven door het geluid van een zoemer. In oktober 2023 klonk er een ander soort zoemer voor het Franse basketbalteam ASVEL - het gaf een datalek aan, georkestreerd door de NoEscape ransomware bende.

Het team erkende de aanval en betreurde de ex filtratie van 32 GB aan gevoelige gegevens, waaronder spelersinformatie zoals paspoorten en identiteitsdocumenten, contracten, geheimhoudingsovereenkomsten en andere juridische documentatie.

8. Een echt incident

Laten we teruggaan naar het voetbal. Al het evenwicht dat de voetbalclub Real Sociedad op het veld toonde te midden van veelbelovende vooruitzichten in zowel de Champions League als de Spaanse La Liga werd abrupt verstoord op 18 oktober 2023, toen de club in een korte verklaring aankondigde dat het slachtoffer was geworden van een cyberaanval.

Dit incident bracht servers in gevaar die gevoelige gegevens opsloegen, waaronder namen, achternamen, postadressen, e-mailadressen, telefoonnummers en zelfs bankrekeninggegevens van abonnees en aandeelhouders.

Als reactie hierop adviseerde de club de slachtoffers om hun accounts te controleren op verdachte activiteiten. Daarnaast werd er een e-mailcommunicatiekanaal opgezet voor de getroffen personen om verdere hulp of opheldering te vragen.

9. Bij Boca in het vizier

Club Atlético Boca Juniors, gevestigd in Buenos Aires, Argentinië, geniet wereldwijde erkenning. De grote bekendheid weerhield cybercriminelen er echter niet van om de club als doelwit te kiezen - integendeel.

Op 16 september 2022 werd Boca Juniors het slachtoffer van een aanval op het officiële YouTube-account. De aanvallers namen de controle over het kanaal in handen en verspreidden informatie over de cryptocurrency Ethereum, een nogal typische oplichting met cryptocurrency.

Als reactie op de inbraak gaf Boca Juniors direct een officiële verklaring uit via Twitter (nu X), waarin ze fans en belanghebbenden geruststelden over hun snelle actie om de controle over het gecompromitteerde account te herstellen. Binnen een paar uur had de club zijn online aanwezigheid succesvol hersteld.

10. Ransomware-aanval op de Koninklijke Nederlandse Voetbalbond (KNVB)

Een aanval op de KNVB in april 2023 resulteerde in de diefstal van vertrouwelijke gegevens van de medewerkers en leden van de organisatie. Het incident, dat werd toegeschreven aan de beruchte LockBit ransomware bende, werd bevestigd door de KNVB, een overkoepelende organisatie voor de professionele voetbalcompetities van het land.

De inbreuk had gevolgen voor verschillende slachtoffers, waaronder ouders van jeugdspelers, internationale spelers, professionals van 2016-2018, contactpersonen van het KNVB Sport Medisch Centrum en personen die betrokken waren bij de tuchtzaken van de organisatie van 1999-2020.

 

Oplichting die op ons allemaal is gericht

Er zijn ook een aantal waarschuwende verhalen die laten zien dat de niet-atleten onder ons ook een sappig doelwit zijn voor cybercriminaliteit.

Het vierjaarlijkse spektakel dat de FIFA World Cup is, trekt wereldwijd miljarden kijkers en scammers zien het als een uitgelezen kans om nieuwe slachtoffers te maken. Het is dan ook geen verrassing dat oplichting met een WK-thema een terugkerend probleem is, waarbij ontvangers vaak wordt wijsgemaakt dat ze kaartjes voor het evenement hebben gewonnen of naar websites worden gelokt waar malware op hun apparaten wordt gedownload. We hebben eerder ook gekeken naar een campagne waarbij nietsvermoedende WhatsApp-gebruikers werden misleid met gratis voetbalshirts.

 

Net als elke andere bedrijfstak is de professionele sport een kluif voor cyberaanvallers. De waarschuwende verhalen die hier zijn uitgelicht, vormen slechts een fractie van het spervuur van dagelijkse pogingen tot cyberaanvallen. Het is noodzakelijk voor de sportsector om waakzaam te blijven, vergelijkbaar met "het oog op de bal houden", en te blijven letten op dreigingen in het online rijk, want cyberaanvallers zullen niet stoppen met het lanceren van nieuwe en steeds complexere aanvallen.