Het Britse Bureau van de Informatiecommissaris (ICO) heeft South Staffordshire Water en moederbedrijf South Staffordshire Plc £963.900 ($1,3 miljoen) beboet na een cyberaanval waarbij de persoonlijke gegevens van meer dan 633.000 klanten en medewerkers werden blootgelegd.
Volgens de ICO kregen aanvallers in september 2020 voor het eerst toegang tot de systemen van het bedrijf via een phishing-e-mail met een kwaadaardige bijlage. De malware bleef ongeveer 20 maanden onopgemerkt in het netwerk voordat de aanvallers tussen mei en juli 2022 hun privileges escaleerden en dieper in bedrijfssystemen doordrongen.
De inbreuk werd pas ontdekt nadat IT-prestatieproblemen in juli 2022 een intern onderzoek hadden gestart. Enkele dagen later vond het bedrijf een losgeldbrief die de aanvallers hadden geprobeerd uit te delen aan werknemers.
Onderzoekers bevestigden later dat er meer dan 4,1 terabyte aan data op het dark web was gepubliceerd. De blootgestelde informatie omvatte klantnamen, fysieke adressen, e-mailadressen, telefoonnummers, geboortedata, gebruikersnamen, wachtwoorden voor online diensten, bankrekeningnummers en sortcodes. Werknemersgegevens omvatten ook HR-gegevens en nationale verzekeringsnummers.
De ICO zei dat het incident meerdere beveiligingsfouten in de infrastructuur van het bedrijf aan het licht bracht. Deze omvatten onvoldoende monitoringsystemen, zwakke privilegecontroles, verouderde software en slechte kwetsbaarheidsbeheerpraktijken. Ten tijde van de aanval werd slechts ongeveer 5% van de IT-omgeving van het bedrijf actief gemonitord. Sommige systemen draaiden nog steeds Windows Server 2003, dat jaren eerder de uitgebreide ondersteuning had verloren.
Toezichthouders ontdekten ook dat kritieke kwetsbaarheden onopgelost bleven, waaronder de ZeroLogon-zwakte die aanvallers later misbruikten om domeinbeheerdersrechten te verkrijgen. De ICO meldde dat het bedrijf tijdens de periode dat aanvallers binnen het netwerk verbleven, geen regelmatige interne of externe kwetsbaarheidsscans had uitgevoerd.
De cyberaanval werd in verband gebracht met de Cl0p ransomwaregroep, hoewel de bende het slachtoffer aanvankelijk publiekelijk ten onrechte identificeerde als Thames Water. South Staffordshire bevestigde later dat de operationele watervoorzieningssystemen niet waren aangetast en dat de drinkwatervoorzieningen normaal bleven tijdens het incident.
De ICO plande oorspronkelijk een hogere financiële boete, maar verlaagde het bedrag met 40% nadat South Staffordshire vroegtijdig aansprakelijkheid had erkend, met onderzoekers had meegewerkt en ermee instemde niet in beroep te gaan.
Ian Hulme, interim-uitvoerend directeur van ICO, bekritiseerde de vertraagde detectiemogelijkheden van het bedrijf en stelde dat wachten op prestatieproblemen of losgeldnota’s om lekken te identificeren onacceptabel was.