Das Büro des britischen Informationskommissars (ICO) hat South Staffordshire Water und die Muttergesellschaft South Staffordshire Plc zu einer Geldstrafe von 963.900 Pfund (1,3 Millionen US-Dollar) verhängt, nachdem ein Cyberangriff die persönlichen Daten von mehr als 633.000 Kunden und Mitarbeitern offengelegt hatte.
Laut dem ICO erhielten Angreifer erstmals im September 2020 durch eine Phishing-E-Mail mit einem bösartigen Anhang Zugang zu den Systemen des Unternehmens. Die Malware blieb etwa 20 Monate lang unentdeckt im Netzwerk, bevor die Angreifer zwischen Mai und Juli 2022 die Privilegien eskalierten und tiefer in die Unternehmenssysteme vordrangen.
Die Sicherheitslücke wurde erst entdeckt, nachdem IT-Leistungsprobleme im Juli 2022 eine interne Untersuchung ausgelöst hatten. Tage später fand das Unternehmen einen Lösegeldschein, den die Angreifer versucht hatten, an die Mitarbeiter zu verteilen.
Ermittler bestätigten später, dass mehr als 4,1 Terabyte Daten im Dark Web veröffentlicht worden waren. Die offengelegten Informationen umfassten Kundennamen, physische Adressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Benutzernamen, Passwörter für Online-Dienste, Bankkontonummern und Sortencodes. Die Mitarbeiterdaten enthielten außerdem Personalakten und Sozialversicherungsnummern.
Das ICO erklärte, der Vorfall habe mehrere Sicherheitslücken in der Unternehmensinfrastruktur aufgedeckt. Dazu gehörten unzureichende Überwachungssysteme, schwache Privilegienkontrollen, veraltete Software und schlechte Schwachstellenmanagement-Praktiken. Zum Zeitpunkt des Angriffs wurden nur etwa 5 % der IT-Umgebung des Unternehmens aktiv überwacht. Einige Systeme liefen noch mit Windows Server 2003, das Jahre zuvor den erweiterten Support verloren hatte.
Die Aufsichtsbehörden stellten außerdem fest, dass kritische Schwachstellen ungepatcht blieben, darunter der ZeroLogon-Fehler, den Angreifer später ausnutzten, um Domainadministrator-Rechte zu erhalten. Das ICO erklärte, das Unternehmen habe während der Zeit, in der sich Angreifer im Netzwerk aufhielten, keine regelmäßigen internen oder externen Schwachstellenscans durchgeführt.
Der Cyberangriff wurde mit der Cl0p-Ransomware-Gruppe in Verbindung gebracht, obwohl die Bande das Opfer zunächst öffentlich fälschlicherweise als Thames Water identifizierte. South Staffordshire bestätigte später, dass die betrieblichen Wasserversorgungssysteme nicht betroffen waren und die Trinkwasserversorgung während des Vorfalls normal fortgeführt wurde.
Das ICO plante ursprünglich eine höhere finanzielle Strafe, senkte diesen jedoch um 40 %, nachdem South Staffordshire frühzeitig Verantwortung anerkannte, mit den Ermittlern kooperierte und sich bereit erklärte, gegen die Entscheidung keinen Einspruch einzulegen.
Ian Hulme, Interimsgeschäftsführer des ICO, kritisierte die verzögerten Erkennungsfähigkeiten des Unternehmens und erklärte, dass es inakzeptabel sei, auf Leistungsprobleme oder Lösegeldforderungen zur Identifizierung von Sicherheitsverletzungen zu warten.