El subcontratista del Reino Unido y especialista en el sector público Capita espera incurrir en “costos excepcionales” en la región de £ 15 millones a £ 20 millones como resultado del ataque de ransomware Black Basta de marzo de 2023 en sus sistemas, que hizo que los clientes no pudieran proporcionar servicios públicos vitales durante días. , y ha resultado en una importante violación de los datos de los clientes, incluida la información en poder de los proveedores de pensiones.
En una declaración al mercado emitida el 10 de mayo, Capita dijo que estos costos incluirían la alimentación profesional especializada pagada a los que responden a incidentes de seguridad cibernética y los forenses, los costos de recuperación y remediación, y la inversión para reforzar el entorno de seguridad cibernética de Capita.
La organización no mencionó el impacto de las sanciones reglamentarias que pueden surgir o no por la aparente pérdida de cantidades significativas de datos, algunos de los cuales se sabe que han estado circulando en la web oscura. Tampoco dijo si ha pagado o no a la pandilla Black Basta de habla rusa.
“Capita ha seguido trabajando de cerca y con rapidez con asesores especializados y expertos forenses para investigar y resolver el ciberincidente”, dijo un portavoz.
“Como se señaló anteriormente, la intrusión no autorizada fue interrumpida por Capita, lo que resultó en una restricción significativa del impacto del ataque. Capita entiende ahora, según su propio trabajo forense y el de sus proveedores externos, que algunos datos se extrajeron de menos del 0,1 % de su propiedad de servidores.
“Capita ha tomado amplias medidas para recuperar y proteger los datos de clientes, proveedores y colegas contenidos en el servidor afectado, y para remediar cualquier problema que surja del incidente”.
Capita dijo que continuaría trabajando en estrecha colaboración con los reguladores, clientes, proveedores y colegas para notificar a cualquier otra parte que pueda verse afectada y aún no lo sepa, y tomará “cualquier paso necesario restante” para abordar el incidente.
Dijo que también ha tomado medidas adicionales para garantizar mejor la integridad, la seguridad y la protección de su infraestructura de TI para “respaldar sus compromisos continuos de servicio al cliente”.
El desempeño comercial subyacente de la organización se mantiene en línea con las expectativas a pesar del impacto del ataque cibernético, con un aumento de los ingresos del grupo de poco menos del 5 % interanual (YoY) durante los primeros cuatro meses del año, y un aumento del 16 % en el desempeño de las ventas.
depósito de AWS
Mientras tanto, han surgido informes que sugieren que incluso sin contar el impacto del ataque del ransomware Black Basta, Capita ha estado exponiendo involuntariamente datos confidenciales a la Internet pública durante años gracias a un depósito de almacenamiento S3 de Amazon Web Services (AWS) mal configurado que no tenía contraseña. colocar.
La brecha, que fue señalada como TechCrunch por un investigador de seguridad anónimo, parece datar de 2016 y afecta a unos 655 GB de datos en 3000 archivos. El investigador afirmó que los datos incluían archivos de software, imágenes de servidor, hojas de cálculo de Excel, presentaciones de PowerPoint y más. Uno de los archivos supuestamente incluía credenciales de inicio de sesión para un sistema de TI de Capita.
Capita bloqueó el depósito S3 al ser informado, y se desconoce si contenía o no datos de clientes. El investigador también señaló que habían tenido problemas para encontrar un contacto de seguridad adecuado dentro de Capita y que la organización no tiene una política de divulgación responsable.
Los cubos de AWS S3 mal protegidos son una fuente frecuente de fugas de datos y han sido utilizados en múltiples ocasiones por actores maliciosos para infiltrarse en las redes de sus víctimas y moverse lateralmente a otros sistemas, aunque no hay evidencia que sugiera que Black Basta usó el cubo de Capita para realizar su ataque de ransomware.
Los depósitos de AWS S3 son privados y están protegidos de forma predeterminada, y a partir de enero de 2023, el servicio también cifra los datos de forma predeterminada, por lo que, en ausencia de un ataque dirigido por parte de un grupo delictivo interno o ciberdelincuente, su contenido solo puede revelarse mediante una configuración incorrecta y mala administración.