De aanval begon op zaterdag 13 februari, toen een hacker wist binnen te dringen in de IT-omgeving van de twee onderwijsinstellingen. Op maandag 15 februari werd de aanval opgemerkt. Het Security Operations Center (SOC) van de UvA en de HvA zag tekenen van een aanval met gijzelsoftware, waarbij de hacker de server(s) op slot zet en losgeld kan vragen.

HvA en UvA besloten ‘terug te vechten’ en de aanval actief en openlijk te bestrijden. Daarbij werden niet alle systemen op zwart gezet, omdat dat grote gevolgen voor het onderwijs zou hebben. Al snel bleek dat de aanvallers inloggegevens en versleutelde wachtwoorden in bezit hadden, die konden worden gebruikt voor een nieuwe aanval of voor de verkoop. Op 23 februari werd daarom alle studenten en medewerkers gevraagd hun wachtwoorden te veranderen. Binnen een paar dagen hadden ruim 100.000 mensen dat gedaan. Op 10 maart was de aanval afgeslagen en gaf het centrale crisisteam het sein ‘brand meester’.

Volgens het COT is de aanval deskundig gepareerd. Er werd goed en flexibel samengewerkt, waardoor de hackers geen data hebben kunnen gijzelen. Wel doen de onderzoekers enkele aanbevelingen om de veiligheid verder te vergroten, zoals het verbeteren van detectie van dit soort aanvallen, het gebruiken van sterkere wachtwoorden en ‘multifactor-authenticatie’, die de identiteit van gebruikers op meer dan één manier vaststelt.