De hackersgroep Play zit achter de cyberaanval op Woonkracht10. Tevens is er losgeld geëist, maar om wat voor bedrag het gaat houdt de woningcorporatie voor zich. Cybersecurityexperts doen nog steeds onderzoek naar het voorval.
Dat bevestigt de woningcorporatie uit Zwijndrecht desgevraagd tegenover VPNGids.nl.
Data van huurders wellicht gestolen
Woonkracht10 maakte afgelopen week bekend dat ze het doelwit was geworden van een cyberaanval. Hackers waren erin geslaagd om toegang te krijgen tot de interne systemen van de woningcorporatie. Mogelijk zijn daarbij gegevens van huurders, medewerkers en andere stakeholders buitgemaakt, maar dat kon de woningcorporatie niet met zekerheid zeggen. Het incident is gemeld bij de Autoriteit Persoonsgegevens. Tevens heeft het huisvestingsbedrijf aangifte gedaan bij de politie.
VPNGids.nl heeft een aantal vragen voorgelegd aan de woningcorporatie omtrent de gebeurtenissen. In een reactie laat Woonkracht10 dat ze ervan uitgaat dat er gegevens van huurders, medewerkers en andere betrokkenen zijn ingezien en gestolen. “Om welke data en welke personen het precies gaat, kunnen we momenteel niet bevestigen”, zo laat de communicatieadviseur ons weten.
Experts onderzoeken hoe aanval tot stand is gekomen
Op internet circuleerde het gerucht dat leden van de hackersgroep Play verantwoordelijk zijn voor de cyberaanval op Woonkracht10. De woningcorporatie bevestigt dat. Hoe de aanval tot stand is gekomen wordt momenteel onderzocht door externe experts.
In juni 2022 verscheen de naam Play voor het eerst op fora van techsite BleepingComputer. Op dat moment richtte de groep zich voornamelijk op doelwitten in Latijns-Amerika, waaronder de rechterlijke macht in Argentinië. Later maakte de hackersgroep ook slachtoffers in Europa, waaronder maritiem dienstverlener Royal Dirkzwager, de gemeente Antwerpen en de Duitse hotelketen H-Hotels.
Play staat erom bekend misbruik te maken van twee kwetsbaarheden in ongepatchte Exchange-servers. Deze exploits zijn ook wel bekend onder de noemer ProxyNotShell. Als hackers langs deze weg toegang weten te krijgen tot het bedrijfsnetwerk, installeren ze ransomware. Digitale bestanden krijgen dan de extensie .play en zijn dan niet langer toegankelijk voor werknemers. De enige manier om weer bij de bestanden te kunnen, is via een decryptie- of decoderingssleutel. De aanvallers overhandigen deze alleen als het slachtoffer losgeld betaalt.
Aantal slachtoffers is onbekend
Woonkracht10 bevestigt dat de aanvallers om losgeld hebben gevraagd, al wil het huisvestingsbedrijf niet zeggen om welk bedrag het gaat. Of de hackers via de bovenstaande methode het computersysteem van de woningcorporatie hebben geïnfiltreerd, kan de communicatieadviseur niet bevestigen. “Op dit moment laten wij door verschillende externe experts onderzoek doen, onder andere naar hoe de aanval tot stand kwam”, zo laat ze weten.
De woningcorporatie heeft op dit moment nog geen idee hoeveel stakeholders de dupe zijn van de cyberaanval. Zodra er hier meer duidelijkheid over is, worden gedupeerden op de hoogte gebracht. Tot slot wil Woonkracht10 op dit moment nog niets zeggen over de technische en organisatorische maatregelen die ze heeft genomen om herhaling in de toekomst te voorkomen.
Update: de woningcorporatie zegt dat de organisatie heeft besloten om losgeld te betalen aan hackersgroep Play. Om wat voor bedrag het gaat wil Woonkracht10 niet zeggen.
“Wij doen al het mogelijke om de data van onze huurders, medewerkers en andere betrokkenen te beschermen onder deze moeilijke omstandigheden. Na een zorgvuldige afweging besloten wij om met de aanvaller afspraken te maken over het verwijderen van onze data. Wij betaalden losgeld”, zo zegt de woningcorporatie in een update.
