Se confirmó una importante interrupción de TI en el subcontratista Capita que comenzó el viernes 31 de marzo como resultado de un ataque cibernético de naturaleza actualmente no revelada.
El incidente derribó algunos servicios de cara al cliente y, dada la naturaleza del negocio de Capita (la organización tiene miles de millones de libras en contratos del sector público), provocó temores inmediatos de un ataque cibernético.
Entre las organizaciones afectadas se encontraban varios consejos, incluidos los distritos londinenses de Barnet y Barking y Dagenham, que se vieron obligados a suspender las operaciones de sus centros de llamadas.
Según fuentes internas, el incidente también golpeó a algunos proveedores de infraestructura crítica nacional (CNI), lo que obligó al personal a recurrir a lápiz y papel en algunos casos.
En un comunicado, Capita dijo que efectivamente había “experimentado un incidente cibernético” que afectó principalmente el acceso a las aplicaciones internas de Microsoft Office 365.
“Esto provocó la interrupción de algunos servicios proporcionados a clientes individuales, aunque la mayoría de nuestros servicios al cliente permanecieron en funcionamiento”, dijo la organización.
“Nuestras capacidades de monitoreo de seguridad de TI nos alertaron rápidamente sobre el incidente, y rápidamente invocamos nuestros protocolos técnicos de gestión de crisis establecidos y practicados”, continuó. “Se tomaron medidas inmediatas para aislar y contener con éxito el problema. El problema se limitó a partes de la red de Capita y no hay evidencia de que los datos de clientes, proveedores o colegas se hayan visto comprometidos”.
Restauración de servicios al cliente
Durante el fin de semana, los equipos de TI y seguridad de Capita han estado trabajando junto con la asistencia técnica especializada para restaurar el acceso interno a las aplicaciones afectadas, y también están logrando un “buen progreso” en la restauración de los servicios al cliente a pleno funcionamiento.
Aunque la forma en que se desarrolló el incidente por primera vez tiene las características de un ataque de ransomware, en el momento de escribir este artículo no hay indicios de si Capita se ha visto afectado o no por el ransomware.
Nuevamente, la naturaleza de su negocio como proveedor de los operadores de los servicios públicos más críticos del Reino Unido convertiría a Capita en un objetivo principal para un actor de amenazas respaldado por el estado o motivado financieramente. La organización no ha hecho más comentarios sobre la naturaleza del incidente.
El vicepresidente de estrategia de Arctic Wolf, Ian McShane, dijo: “Debido a su posición única en el corazón del gobierno y los servicios públicos como el NHS, y el crecimiento continuo de atacantes que utilizan cadenas de suministro para atacar a gran escala, es vital que las organizaciones con vínculos directos a o de la infraestructura de TI y aplicaciones de Capita, tome precauciones para detener cualquier posible propagación.
“Las organizaciones también deben estar alertas a los delincuentes que se aprovechan de cualquier confusión en torno a esto”, dijo. “Los atacantes siempre buscan capitalizar el miedo y la incertidumbre a través de campañas de ataque de ingeniería social personalizadas. Como tal, se debe aconsejar a los empleados que analicen cualquier comunicación con mucho cuidado.
“Los líderes de la empresa también deben comunicarse directamente con los empleados para asegurarse de que comprendan el proceso para marcar correos electrónicos o mensajes sospechosos”, agregó McShane. “Del mismo modo, los equipos de TI deben revisar qué protecciones tienen implementadas e implementar un monitoreo proactivo para todas las cuentas administrativas, asegurándose de que cualquier cambio realizado en estas cuentas active una alerta”.