Атака BlackBasta на Capita: 6 млн записей и провал SOC

В марте 2023 года британская аутсорсинговая компания Capita стала жертвой масштабной атаки программ-вымогателей со стороны группы BlackBasta. В результате злоумышленники эксфильтрировали более шести миллионов отдельных записей, содержащих крайне чувствительную информацию — от домашн��х адресов до номеров кредитных карт и сканов документов. Расследование и отчет ICO выявили системные просчеты в организации безопасности, которые позволили нападению принять катастрофические масштабы.

Что именно украли злоумышленники

Среди похищенных данных были:

• домашние адреса, номера электронной почты и телефонов;
• номера национальной страховки;
• сканы водительских прав и паспортов;
• реквизиты банковских счетов и номера кредитных карт;
• иные персональные и финансовые данные клиентов и сотрудников.

Хронология и ключевые провалы в защите

Отчет ICO подробно изложил ход событий и указал на критические недостатки в операциях Capita по обеспечению безопасности:

«Первоначальное предупреждение, вызванное вредоносным файлом jdmb.js, оставалось без внимания почти 58 часов, хотя это указывало на компромисс на высоком уровне».

Другие важные проблемы:

• Недостаточное обеспечение SOC: во время инцидента в смене работал лишь один аналитик, что значительно замедлило реагирование;
• Отсутствие автоматизации изоляции устройств: скомпрометированные машины не были оперативно изолированы, что дало злоумышленникам возможность закрепиться и эскалировать привилегии;
• Плохая сегментация Active Directory: отсутствие многоуровневой архитектуры Active Directory позволило повышать привилегии от низкоуровневых систем до контроллеров домена;
• Игнорирование результатов тестов на проникновение: предыдущие pentest-ы выявили уязвимости, связанные с управлением привилегиями и advertising-management, однако рекомендованные исправления не были внедрены вовремя.

Тактика нападавших

TTP группы BlackBasta включали этапы, типичные для продвинутых программ-вымогателей: начальная компрометация через вредоносный файл, латентное закрепление, эскалация привилегий и латеральное движение по сети. Комбинация человеческих факторов (низкая скорость реагирования) и технологических пробелов (отсутствие автоматизированной изоляции, слабая архитектура AD) дала атакующим пространство для маневра.

Финансовые и регуляторные последствия

• Штраф: ICO наложил штраф в размере 14 миллионов фунтов стерлингов;
• Расходы на восстановление: оцениваются примерно в 20 миллионов фунтов стерлингов;
• Репутационные потери: многочисленные клиенты и партнеры подверглись риску утраты конфиденциальности, что повлияло на доверие к компании.

Уроки и рекомендации

Отчет подчёркивает, что ключ к уменьшению последствий подобных инцидентов лежит не только в технологии, но и в оперативности и дисциплине процессов:

• ввести четкие SLA на реагирование на критические предупреждения и проверять их выполнение;
• обеспечить достаточное кадровое покрытие SOC, чтобы минимизировать «окна» безнадзорности;
• внедрить автоматизацию изоляции и ответных мер через решения SOAR, чтобы сократить время реагирования;
• реорганизовать Active Directory с учетом принципов сегментации и минимизации привилегий;
• своевременно реализовывать рекомендации по результатам penetration testing;
• ввести строгие практики разделения административных привилегий и управления доступом.

Вывод

Инцидент в Capita — наглядный пример того, как сочетание технических уязвимостей, организационных просчетов и отсутствия автоматизации превращает одну обнаруженную угрозу в крупную утечку данных. Даже при наличии отдельных инструментов защиты критично важны слаженные процессы реагирования, достаточные ресурсы SOC и реализация исправлений после тестов на проникновение. Только комплексный подход позволит снизить риск повторения подобных инцидентов и минимизировать ущерб при их возникновении.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.