O Escritório do Comissário de Informação do Reino Unido (ICO) multou a South Staffordshire Water e a empresa-mãe South Staffordshire Plc em £963.900 (US$ 1,3 milhão) após um ataque cibernético que expôs dados pessoais de mais de 633.000 clientes e funcionários.
De acordo com o ICO, os atacantes tiveram acesso aos sistemas da empresa pela primeira vez em setembro de 2020 por meio de um e-mail de phishing contendo um anexo malicioso. O malware permaneceu indetectado dentro da rede por cerca de 20 meses antes que os atacantes aumentassem os privilégios e se aprofundassem nos sistemas da empresa entre maio e julho de 2022.
A violação só foi descoberta depois que problemas de desempenho de TI desencadearam uma investigação interna em julho de 2022. Dias depois, a empresa encontrou uma nota de resgate que os agressores tentaram distribuir aos funcionários.
Investigadores confirmaram posteriormente que mais de 4,1 terabytes de dados foram publicados na dark web. As informações expostas incluíam nomes de clientes, endereços físicos, endereços de e-mail, números de telefone, datas de nascimento, nomes de usuário, senhas de serviços online, números de conta bancária e códigos de ordenação. Os dados dos funcionários também incluíam registros de RH e números do Seguro Nacional.
O ICO afirmou que o incidente revelou múltiplas falhas de segurança dentro da infraestrutura da empresa. Esses sistemas incluíam sistemas de monitoramento inadequados, controles de privilégios fracos, software desatualizado e práticas ruins de gerenciamento de vulnerabilidades. No momento do ataque, apenas cerca de 5% do ambiente de TI da empresa estava ativamente monitorado. Alguns sistemas ainda rodavam o Windows Server 2003, que perdeu suporte estendido anos antes.
Os reguladores também descobriram que vulnerabilidades críticas permaneceram sem correção, incluindo a falha ZeroLogon que os atacantes exploraram posteriormente para obter privilégios de administrador de domínio. O ICO afirmou que a empresa não realizou varreduras regulares de vulnerabilidades internas ou externas durante o período em que os atacantes permaneceram dentro da rede.
O ataque cibernético foi ligado ao grupo de ransomware Cl0p, embora a gangue inicialmente tenha identificado publicamente a vítima como Thames Water. South Staffordshire confirmou posteriormente que os sistemas operacionais de abastecimento de água não foram afetados e que os serviços de água potável continuaram normalmente durante o incidente.
A ICO originalmente planejou uma multa financeira maior, mas reduziu o valor em 40% depois que South Staffordshire admitiu responsabilidade antecipadamente, cooperou com os investigadores e concordou em não recorrer da decisão.
O Diretor Executivo Interino do ICO, Ian Hulme, criticou as capacidades de detecção tardia da empresa, afirmando que esperar por problemas de desempenho ou notas de resgate para identificar violações era inaceitável.