Ransomware

Woningcorporaties gehackt, ID-bewijzen en bankgegevens op straat

06 april 2022 15:52 Aangepast: 06 april 2022 23:17
Beeld © iStock

Een beruchte groep cybercriminelen heeft na een ransomware-aanval op verschillende Nederlandse woningcorporaties een deel van de gestolen data gepubliceerd. Het gaat om duizenden bestanden met daarin privégegevens van klanten, zoals kopieën van identiteitsbewijzen en bankgegevens.

Dat blijkt uit onderzoek van RTL Nieuws, dat de gestolen data heeft ingezien en geverifieerd. De bestanden zijn gepubliceerd op het dark web, het verborgen deel van het internet.

De cybercriminelen van ransomwaregroep Conti gijzelden op 27 maart een deel van de servers van IT-bedrijf The Sourcing Company, dat digitale diensten verleent aan veel woningcorporaties.

In totaal is er 200 gigabyte aan data van verschillende organisaties gestolen, waarvan nu zo'n 8 gigabyte online is gezet. 

Acht getroffen organisaties

De acht getroffen woningcorporaties zijn Laurentius (Breda), Alwel (Roosendaal), Zayaz (Den Bosch), Trivire (Dordrecht), De Woningstichting (Wageningen), Brederode Wonen (Bloemendaal), L'Escaut (Vlissingen) en QuaWonen (Bergambacht). 

Gezamenlijk zijn de organisaties verantwoordelijk voor meer dan 75.000 woningen en de privégegevens van hun klanten. De organisaties hebben melding gedaan bij de Autoriteit Persoonsgegevens en huurders geïnformeerd over de aanval.

Kopieën paspoorten

In de door Conti gepubliceerde data zijn kopieën van paspoorten en rijbewijzen te vinden die kunnen worden misbruikt voor identiteitsfraude. Het gaat om kopieën die werden gebruikt als iemand wilde toetreden tot een Vereniging van Eigenaars (VvE) van één van de gebouwen van de woningcorporatie.

De gestolen kopieën zijn afkomstig uit de systemen van QuaWonen, sommige kopieën stammen zelfs uit 2016. Een woordvoerder erkent dat QuaWonen 'veel te lang' kopieën heeft bewaard en dat ze deze gegevens direct na de VvE-inschrijving hadden moeten verwijderen: "Daar zitten we fout." De kopieën worden nu verwijderd en de gedupeerden geïnformeerd.

Een enkele kopie is voorzien van een watermerk, waardoor de kopie lastiger te misbruiken is. Een watermerk kun je toevoegen met bijvoorbeeld de gratis app KopieID van de overheid.

De kopieën van paspoorten zijn zeer fraudegevoelig en gewild bij cybercriminelen. De kopieën van paspoorten zijn zeer fraudegevoelig en gewild bij cybercriminelen.

Bankgegevens 

Naast kopieën van paspoorten zijn ook bankgegevens van huurders door Conti gelekt. Deze gegevens zijn goud waard voor criminelen omdat ze worden misbruikt voor zeer gerichte phishingaanvallen, bijvoorbeeld berichten waarin naast de juiste naam ook het correcte IBAN-nummer vermeld staat. 

Ook zijn de volledige namen, woonadressen, telefoonnummers, e-mailadressen en in sommige gevallen burgerservicenummers van klanten door de criminelen gepubliceerd. Dit soort privégegevens worden opgeslagen in onder andere grote Excel-bestanden. 

Een voorbeeld van de gepubliceerde privégegevens. Een voorbeeld van de gepubliceerde privégegevens.

Niet betalen

De woningcorporaties hebben gezamenlijk laten weten het losgeld - volgens BN de Stem wordt er 15 miljoen euro geëist - niet te gaan betalen. De organisaties stellen nog bezig te zijn met het onderzoek naar welke gegevens precies in criminele handen zijn gekomen. 

The Sourcing Company is al ruim een week bezig om de systemen te herstellen en backups terug te zetten. Een deel van de online backups was gegijzeld, maar het bedrijf had ook offline backups die konden worden teruggezet, zo vertelt Johan van der Blom, managing partner bij The Sourcing Company.

Gehackt

Hoe de criminelen van Conti bij The Sourcing Company zijn binnengekomen, wordt momenteel nog door cybersecuritybedrijf Northwave onderzocht. "Bij Conti is het altijd één van de drie bekende hackmethoden: via een kwetsbaarheid in software, via phishing of via een gelekt wachtwoord", vertelt directeur Pim Takkenberg.

Conti is door RTL Nieuws om een reactie gevraagd, maar heeft niet gereageerd. De organisatie staat erom bekend steeds meer data te lekken in de hoop dat slachtoffers toch tot betaling overgaan. 

Video: Achter de schermen bij een ransomware-aanval

Zo werkt een ransomware-aanval: "Net een vriendelijke helpdesk."

Conti

Conti is één van de meest succesvolle en actieve ransomware-groepen die momenteel actief is en vindt zijn oorsprong in Rusland. Het is ook één van de meest beruchte, mede door hun harde onderhandelingen en dat ze tijdens de pandemie specifiek ziekenhuizen zijn gaan aanvallen. 

Ook heeft Conti publiekelijk zijn steun uitgesproken aan Rusland in de oorlog met Oekraïne. Kort daarop werden de interne chatberichten van leden van Conti gelekt door een anonieme onderzoeker die zegt uit Oekraïne te komen. Ondanks dit grote lek is Conti nog steeds actief.

Miniatuurvoorbeeld
Lees ook:

Gehackt en gegijzeld: hoe MediaMarkt onderhandelde met ransomwarecriminelen

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore