În urma unui email de phishing trimis pe 11 septembrie 2020, compania de apă South Staffordshire Water din Marea Britanie a permis unui atacator să rămână neobservat în rețea timp de aproape doi ani.

Până când compania și-a dat seama că ceva era în neregulă, în iulie 2022 când inginerii de sistem au investigat probleme de performanță IT, atacatorii exfiltraseră deja peste patru terabytes de date, inclusiv numere de cont bancar și coduri sort ale clienților.

Biroul Comisarului pentru Informații din Regatul Unit (ICO, Information Commissioner’s Office) a amendat South Staffordshire Plc și South Staffordshire Water Plc cu 963.900 de lire sterline în urma atacului cibernetic care a condus la extragerea și publicarea pe dark web a datelor personale ale 633.887 de persoane.

Deși breșa a avut loc in septembrie 2020, exfiltrarea datelor s-a întâmplat între mai și iulie 2022, expunând eșecul companiei în abordarea securității datelor și lăsând clienții și angajații vulnerabili timp de aproape doi ani.

Emailul de tip phishing a condus la instalarea downloader-ului Get2 și a troianului de acces de la distanță SDBbot. La doi ani de la intruziune, hackerul a început să pivoteze în rețeaua companiei de apă, folosind un cont de administrator de domeniu și conexiuni la distanță prin protocolul RDP pentru a accesa 20 de endpoint-uri diferite până pe 4 august.

La momentul atacului, South Staffordshire deținea informații personale a aproximativ 1,85 milioane de clienți, circa 750.000 actuali și 1,1 milioane foști, precum și 2.791 de angajați actuali și cel puțin 2.298 de foști angajați.

Breșa a condus la publicarea pe dark web, în august 2022, a datelor personale ale 633.887 de persoane, incluzând numele complet, adresa poștală, adresa de email, data nașterii, genul și numărul de telefon, informații HR inclusiv numere de asigurare națională pentru angajați, și numere de cont bancar și coduri sort pentru clienți.

Pentru un procent mic de clienți din Registrul de Servicii Prioritare, au fost expuse informații din care puteau fi deduse dizabilități.

ICO a constatat că atacul a expus eșecul companiei privind securitatea datelor, incluzând controale limitate care au permis atacatorului să obțină privilegii de administrator după obținerea unui prim punct de acces în rețea, precum și măsuri insuficiente de monitorizare și jurnalizare.

Grupul ransomware Cl0p, autorul atacului, provocase și o confuzie notabilă în august 2022, când revendicase inițial în mod eronat că vizase Thames Water, publicând acuzații extinse la adresa acestei companii înainte ca victima reală să fie identificată corect.

South Staffordshire Water și compania mamă South Staffordshire PLC au acceptat să plătească amenda cu 40 la sută mai mică față de suma inițială de 1,6 milioane de lire sterline propusă, în schimbul necontestării acesteia.

Reducerea a reflectat îmbunătățirile implementate după breșă, cooperarea cu autoritățile de reglementare și sprijinul acordat clienților afectați.