BT dış kaynak sağlayıcısı Capita, “siber olayın” bir veri ihlaliyle sonuçlandığını ve sunucu varlığının “yaklaşık %4’ünün” etkilendiğini kabul etti.
Siber saldırıyı “Black Basta” üstlendi!
Capita, Birleşik Krallık merkezli bir iş hizmetleri sağlayıcısıdır. Çeşitli sektörlere, özellikle de hükümet, sağlık, finans, perakende ve ulaştırma sektörlerine hizmet verir. Şirket, müşterilerine insan kaynakları, mali işler, çağrı merkezi yönetimi, iş süreçleri yönetimi, teknoloji çözümleri ve danışmanlık hizmetleri sunar. Capita, özellikle kamu hizmetlerine yönelik hizmetleriyle tanınır ve İngiltere hükümeti için birçok projede yer almıştır.
Capita, “şu anda sınırlı veri sızıntısı olduğuna dair bazı kanıtlar bulunduğunu” ve verilerin müşteri, tedarikçi veya iş arkadaşı verilerini “içerebileceğini” söyledi. Şirket, “siber olayın” esas olarak personelin Microsoft 365 ürünlerine erişimini etkilediğini, ancak bu erişimin artık geri yüklendiğini söyledi. Capita’nın müşteri hizmetlerinin çoğunluğu olaydan etkilenmedi ve çalışmaya devam etti ve Capita şu anda etkilenen neredeyse tüm müşteri hizmetlerini geri yükledi” dedi.
Capita, yapılan incelemelerin izinsiz girişin 22 Mart’ta başladığını ve 31 Mart’ta şirket tarafından “kesintiye uğratıldığını” gösterdiğini söyledi. O gün, Capita “bir BT sorunu” yaşadığını söyledi ancak 3 Nisan’a kadar bunu bir “siber olay” olarak tanımlamadı. Fidye yazılım grubu Black Basta saldırının sorumluluğunu üstlenerek internette bir dizi belge yayınladı, ancak Capita hala kamuya açık iletişimlerde grubun adını vermedi.
Saldırıdan Vodafone, Devlet daireleri ve İngiliz Ordusu etkilenmiş olabilir!
Bu haftanın başlarında Capita hissedarlara bir e-posta göndererek sızıntının gerçek olup olmadığını ve dosyaların gerçekten Capita’dan gelip gelmediğini araştırmaya devam ettiklerini açıkladı ve başka kaynaklardan ya da kamusal alandan gelmiş olabileceklerini öne sürdü.
Sızıntıda yer alan dosyalar, pasaport taramaları, iş başvuruları, bina kat planları, ‘gizli’ olarak işaretlenmiş belgeler ve “Capita Nuclear” ile ilgili dosyalar gibi hassas nitelikteydi.
Capita’nın müşteri listesinde, çağrı merkezlerinde kesintiler yaşanan O2 ve Vodafone gibi mobil operatörler; NHS; Çalışma ve Emeklilik Bakanlığı gibi çeşitli devlet daireleri; ayrıca İngiliz Ordusu ve Kraliyet Donanması gibi Birleşik Krallık’taki önemli kuruluşlar yer alıyor. Sektör uzmanı Kevin Beaumont’a göre, kamuya açıklanmamış gibi görünen tehdit istihbaratı verileri, bu haftanın başlarında Capita’nın uç noktalarının, Capita’nın bir BT olayını duyurmasından bir hafta önce Qakbot kötü amaçlı yazılımı için izleme telemetrisinde bulunduğunu gösterdi.
Eğer doğruysa, bu veriler Capita’nın izinsiz girişin Mart ayında başladığını kabul ettiğini doğruluyor.
Black Basta bilinen bir fidye yazılım grubu olmasına rağmen, şu anda olayın grubun şifreleyicisini içerdiğine dair bir gösterge yok. Black Basta sofistike bir tehdit aktörü olarak kabul ediliyor ve genellikle çifte gasp taktikleri kullanarak faaliyet gösteriyor. Kroll‘a göre ilk olarak 2022’de keşfedilen Black Basta, veri çalmak ve fidye yazılımı yükünü sistemlere bulaştırmak amacıyla saldırılar düzenlemek için bir dizi benzersiz taktik kullanıyor.