El subcontratista del sector público Capita ha confirmado que se robaron algunos datos confidenciales de una pequeña proporción de su servidor afectado por un ataque de ransomware Black Basta en marzo de 2023.
El incidente provocó importantes interrupciones de TI y un impacto significativo en los servicios de cara al cliente en muchos organismos del sector público y algunos operadores de infraestructura nacional crítica (CNI) en todo el Reino Unido, y el personal no pudo atender llamadas del público y otros recurrieron a lápiz y papel tradicional.
Posteriormente, el ciberataque fue reivindicado por el equipo de ransomware Black Basta, que incluyó a Capita en su sitio de fugas de la web oscura y publicó documentos que parecen haber sido robados de sus sistemas, incluida la información del cliente.
Se alega que los datos robados incluyen información de identificación personal (PII) sobre solicitantes de empleo docente para varias escuelas en Sheffield, detalles de pago para clientes de la unidad Capita Nuclear de Capita Business Services y planos de planta internos.
Capita ahora cree que el operador de ransomware obtuvo acceso no autorizado por primera vez el sábado 22 de marzo y estuvo presente en sus sistemas durante una semana antes de ser descubierto y expulsado el viernes 31 de marzo.
“Como resultado de la interrupción, el incidente se restringió significativamente, afectando potencialmente a alrededor del 4% del patrimonio de servidores de Capita”, dijo un portavoz de Capita en un comunicado.
“Actualmente existe alguna evidencia de exfiltración de datos limitada de la pequeña proporción del estado del servidor afectado, que podría incluir datos de clientes, proveedores o colegas.
“Capita continúa trabajando a través de sus investigaciones forenses e informará a cualquier cliente, proveedor o compañero que se vea afectado de manera oportuna.
“Capita continúa cumpliendo con todas las obligaciones regulatorias relevantes”, dijo el vocero.
Desde el incidente, Capita y sus socios técnicos han restaurado con éxito el acceso interno a Microsoft Office 365, y los servicios de clientes afectados, que se entiende que han sido una pequeña proporción del total, se han restaurado en su mayoría.
Se está llevando a cabo una investigación por parte de asesores especializados en seguridad cibernética y un equipo forense para brindar garantías sobre la violación de datos. Sin embargo, Capita aún no ha reconocido formalmente el ataque de ransomware.
Las acciones de la organización han disminuido significativamente desde que Black Basta reivindicó el ataque por primera vez, aunque actualmente se mantienen estables.
Black Basta surgió por primera vez en la primavera de 2022 y se ha convertido en una de las operaciones de ransomware como servicio (RaaS) de doble extorsión operadas por humanos más destacadas.
Por lo general, llega a través de archivos zip adjuntos a correos electrónicos de phishing, que implementan el troyano Qakbot para establecer el acceso inicial. Luego implementa el marco legítimo de post-explotación de Cobalt Strike para comando y control y detección de sistemas, y realiza movimientos laterales usando el protocolo de escritorio remoto (RDP) y PSexec antes de ejecutar el ransomware.
El casillero en sí está codificado en C ++ y es capaz de atacar sistemas Windows y Linux, encriptando datos rápidamente en pequeños fragmentos, lo que le permite causar más daño antes de activar las defensas.
Los investigadores que rastrean la operación han visto múltiples similitudes con otras pandillas prominentes en el enfoque de Black Basta para el desarrollo de malware, los sitios de fuga y las comunicaciones, lo que ha provocado especulaciones de que el grupo puede estar compuesto por ex miembros de las operaciones Conti y REvil, o al menos ha sido fuertemente inspirado por ellos.
También se han postulado enlaces al actor de amenazas FIN7, que se cree que dirige la pandilla BlackCat/ALPHV, gracias a las similitudes en sus técnicas de evasión de respuesta y detección de puntos finales y la superposición de direcciones IP utilizadas para comando y control.