Kamu sektörü dış kaynak sağlayıcısı Capita, Mart 2023’te bir Black Basta fidye yazılımı saldırısından etkilenen sunucu varlığının küçük bir bölümünden bazı gizli verilerin çalındığını doğruladı.
Olay, büyük BT kesintilerine ve Birleşik Krallık’taki birçok kamu sektörü kurumunda ve bazı kritik ulusal altyapı (CNI) operatörlerinde müşteriye yönelik hizmetlerde önemli etkiye neden oldu; personel halktan gelen aramaları cevaplayamaz hale geldi ve diğerleri geri çekildi geleneksel kalem ve kağıt.
Siber saldırı daha sonra, Capita’yı karanlık web sızıntı sitesinde listeleyen ve müşteri bilgileri de dahil olmak üzere sistemlerinden çalınmış gibi görünen belgeler yayınlayan Black Basta fidye yazılımı ekibi tarafından üstlenildi.
Çalınan verilerin, Sheffield’daki bir dizi okul için öğretmenlik işine başvuran adaylara ilişkin kişisel olarak tanımlanabilir bilgileri (PII), Capita Business Services’ın Capita Nuclear biriminin müşterileri için ödeme ayrıntılarını ve dahili kat planlarını içerdiği iddia ediliyor.
Capita şimdi, fidye yazılımı operatörünün ilk olarak 22 Mart Cumartesi günü yetkisiz erişim elde ettiğine ve 31 Mart Cuma günü keşfedilip atılmadan önce bir hafta boyunca sistemlerinde bulunduğuna inanıyor.
Bir Capita sözcüsü yaptığı açıklamada, “Kesinti sonucunda, olay önemli ölçüde kısıtlandı ve potansiyel olarak Capita’nın sunucu varlıklarının yaklaşık %4’ünü etkiledi” dedi.
“Müşteri, tedarikçi veya iş arkadaşı verilerini içerebilecek, etkilenen sunucu mülkünün küçük bir bölümünden sınırlı veri sızıntısına ilişkin bazı kanıtlar şu anda var.
“Capita, adli soruşturmaları üzerinde çalışmaya devam ediyor ve etkilenen tüm müşterileri, tedarikçileri veya meslektaşlarını zamanında bilgilendirecek.
Sözcü, “Capita ilgili tüm düzenleyici yükümlülüklere uymaya devam ediyor” dedi.
Olaydan bu yana Capita ve teknik ortakları, Microsoft Office 365’e dahili erişimi başarıyla geri yükledi ve toplamın küçük bir kısmını oluşturduğu anlaşılan etkilenen müşteri hizmetleri büyük ölçüde geri yüklendi.
Veri ihlali konusunda güvence sağlamak için uzman siber güvenlik danışmanları ve bir adli tıp ekibi tarafından yürütülen bir soruşturma sürüyor. Ancak Capita, fidye yazılımı saldırısını henüz resmi olarak kabul etmedi.
Black Basta’nın saldırıyı ilk üstlenmesinden bu yana kuruluşun hisseleri önemli ölçüde düştü, ancak şu anda sabit durumda.
Black Basta ilk olarak 2022 baharında ortaya çıktı ve insanlar tarafından yürütülen en önde gelen, çift şantajlı hizmet olarak fidye yazılımı (RaaS) operasyonlarından biri haline geldi.
Tipik olarak, ilk erişimi sağlamak için Qakbot truva atını dağıtan kimlik avı e-postalarına eklenmiş zip dosyaları aracılığıyla gelir. Ardından, komuta ve kontrol ve sistem keşfi için meşru Cobalt Strike sömürü sonrası çerçevesini dağıtır ve fidye yazılımını çalıştırmadan önce uzak masaüstü protokolü (RDP) ve PSexec kullanarak yanal hareket gerçekleştirir.
Dolabın kendisi C++ ile kodlanmıştır ve hem Windows hem de Linux sistemlerine saldırabilir, verileri küçük parçalar halinde hızlı bir şekilde şifreleyerek savunmaları tetiklemeden önce daha fazla hasar vermesini sağlar.
Operasyonu izleyen araştırmacılar, Black Basta’nın kötü amaçlı yazılım geliştirme, sızıntı siteleri ve iletişimlere yaklaşımında diğer önde gelen çetelerle birçok benzerlik gördüler ve bu, grubun Conti ve REvil operasyonlarının eski üyelerinden veya en azından eski üyelerden oluşabileceği yönünde spekülasyonlara yol açtı. onlardan büyük ölçüde ilham almıştır.
Uç nokta algılama ve yanıt kaçırma tekniklerindeki benzerlikler ve komuta ve kontrol için kullanılan çakışan IP adresleri sayesinde, BlackCat/ALPHV çetesini yönettiği düşünülen FIN7 tehdit aktörüne de bağlantılar verildi.