فائدة المملكة المتحدة المياه الجنوبية، التي تخدم العملاء في شرق ساسكس وهامبشاير وجزيرة وايت وكينت وغرب ساسكس، أكدت أنها تحقق في حادث سيبراني كبير بعد أن ادعت نقابة Black Basta Ransomware أنها وصلت إلى أنظمتها.
نشر طاقم بلاك باستا تفاصيل محدودة عن اقتحامه المفترض على موقع تسرب تور الخاص به في 22 يناير. أدركت شركة Computer Weekly أنها أعطت ضحيتها مهلة حتى 29 يناير للرد.
وفي بيان نُشر على الإنترنت، قال متحدث باسم شركة Southern Water: “نحن على علم بادعاء مجرمي الإنترنت بأن البيانات قد سُرقت من بعض أنظمة تكنولوجيا المعلومات لدينا.
وقالوا: “لقد اكتشفنا سابقًا نشاطًا مشبوهًا، وبدأنا تحقيقًا بقيادة متخصصين مستقلين في الأمن السيبراني”. “ومنذ ذلك الحين، تم نشر كمية محدودة من البيانات. ومع ذلك، في هذه المرحلة، لا يوجد دليل على أن علاقاتنا مع العملاء أو أنظمتنا المالية قد تأثرت. خدماتنا لم تتأثر وتعمل بشكل طبيعي.”
وأضاف المتحدث: “لقد أبلغنا الحكومة والمنظمين لدينا ومكتب مفوض المعلومات؛ ونحن نتابع عن كثب نصيحة المركز الوطني للأمن السيبراني (NCSC) مع استمرار تحقيقنا.
“إذا أثبتنا، من خلال التحقيق، أن بيانات العملاء أو الموظفين قد تمت سرقتها، فسنتأكد من إخطارهم، وفقًا لالتزاماتنا.”
في هذه المرحلة، لا يُعرف سوى القليل عن كيفية بدء الاختراق، أو مدى خرق البيانات الناتج، على الرغم من تداول معلومات عبر الإنترنت تشير إلى أن العصابة قد هربت بحوالي 750 جيجابايت من البيانات، بما في ذلك بعض معلومات العملاء. ومن المفترض أيضًا أن بعض البيانات المسروقة التي قدمتها العصابة كدليل تحمل أسماء المنظمة الأم لشركة Southern Water، وهي Greensands، مما يشير إلى احتمال حدوث خرق أوسع نطاقًا. لم تتحقق شركة Southern Water أو تعلق على أي من هذه الادعاءات.
اضطراب محدود؟
ولحسن الحظ بالنسبة لعملاء شركة Southern Water، لا يبدو أن الهجوم قد أدى إلى تعطيل أنظمة تكنولوجيا المعلومات الخاصة بالمنظمة مما أدى إلى تأثر تقديم خدماتها – وهي رحمة صغيرة نظرًا لأنها لا تزال التعامل مع العواقب من العواصف الشتوية الأخيرة التي ضربت جنوب إنجلترا.
“بالرغم من جنوبي ماء وقال تريفور ديرينج: “إن الشركة على علم بالانتهاك وتحقق فيه، وبحلول الوقت الذي يتم فيه اكتشاف الهجوم، يكون الأوان قد فات في كثير من الأحيان”. إليوميو مدير البنية التحتية الحيوية. “يقضي المهاجمون المزيد والمزيد من الوقت في شبكات المؤسسات لبناء صورة قبل شن هجوم، لذلك يجب على المؤسسات أن تفترض أن الأشرار موجودون بالفعل وتجعل من الصعب عليهم التحرك عبر الموارد والبيئات.
وقال: “في هذه المناسبة، يبدو أن الهدف كان تسريب البيانات بدلا من التسبب في أقصى قدر من التعطيل”. “على الرغم من أن هذا الأمر يثير قلق العملاء بلا شك، إلا أن النتيجة كان من الممكن أن تكون أسوأ بكثير. على سبيل المثال، الهجوم في فلوريدا حيث المحتوى الكيميائي في ماء تم تعديله، أو الهجوم الذي وقع الشهر الماضي في أيرلندا والذي تسبب ماء انقطاع التيار الكهربائي عن مئات الأسر سيبذل المهاجمون كل ما في وسعهم للحصول على أسرع دفع، لذلك يجب على المشغلين إعطاء الأولوية للاستراتيجيات الأمنية مثل انعدام الثقة التي يمكن أن تقلل من مخاطر الهجمات وتأثيرها.
WithSecure وأضاف تيم ويست، رئيس استخبارات التهديدات السيبرانية: “التركيز الأساسي عند تأمين ماء القطاع هو المرونة التشغيلية، مما يضمن أن ماء الإمدادات التي يعتمد عليها ملايين الأشخاص آمنة وموثوقة. بينما كانت هناك هجمات القراصنة على ال ماء في الأشهر الأخيرة، تجنبت العديد من الجهات الفاعلة ذات الدوافع المالية عمداً التدخل في البنية التحتية الوطنية الحيوية مثل ماء الإمدادات، حتى لا تلفت انتباه سلطات إنفاذ القانون كثيرًا.
“لكن، ماء وتمتلك الشركات أيضًا كميات هائلة من معلومات تحديد الهوية الشخصية (PII)، والتي ليس لها قيمة على شبكة الإنترنت المظلمة فحسب، ولكنها تمثل وسيلة ضغط ممتازة للمهاجمين السيبرانيين عند المطالبة بفدية.
“ال ماء أصبحت الصناعة هدفًا منتظمًا لممثلي برامج الفدية، مع كل من وكالة الاستخبارات الأمنية الأمريكية (CISA) الأمريكية و المملكة المتحدة NCSC تحذير من التهديد. ولذلك، من الضروري أن تستثمر المؤسسات في تطبيق أفضل الممارسات الأمنية حيثما كان ذلك ممكنًا لحماية خدماتها وعملائها.
من هم بلاك باستا؟
كان بلاك باستا في الخلف هجوم 2023 على كابيتا، النتائج والتي لا تزال محسوسة، ولديه وحصل على فدية تزيد عن 100 مليون دولار خلال فترة حياتها، وفقًا لتقرير صدر في أواخر عام 2023 من شركة التأمين السيبراني Corvus.
استكشف التقرير، الذي تم إنتاجه بالاشتراك مع شركة Elliptic المتخصصة في تحليلات blockchain، كيف تستخدم العصابات مثل Black Basta شبكات معقدة من محافظ العملات المشفرة لغسل مكاسبها غير المشروعة، وكشف أن العصابة ضربت أكثر من 300 منظمة منذ ظهورها، منها حوالي 35٪ ودفعوا فدية تصل إلى 9 ملايين دولار، بمتوسط 1.2 مليون دولار.
وأكد التقرير أيضًا وجود روابط مضاربة سابقة بين بلاك باستا وكونتي اغلاق وسط الدراما الانترنت بعد انقسام داخلي واضح بشأن الهجوم الروسي على أوكرانيا.
قال WestSecure من WithSecure: “إن Black Basta هي ما يُعرف باسم مجموعة برامج الفدية متعددة النقاط للابتزاز، وأسلوب عملهم النموذجي هو اقتحام الشبكة، وسرقة المعلومات الحساسة، ثم تشفير أكبر عدد ممكن من الملفات على الشبكة”.
“ثم يطلبون فدية من أجل فك تشفير الملفات، مع التهديد الإضافي بأنهم سوف يسربون البيانات المسروقة أو يبيعونها علنًا إذا لم يتم دفع الفدية بحلول الموعد النهائي.”
على الرغم من أنها مجموعة أصغر وفقًا لبعض المعايير، إلا أن ويست قال إن ربحيتها – كما أوضحت شركتا Corvus وElliptic – أظهرت مدى فعالية برامج الفدية عندما يدفع الضحايا الأموال، وهو ما يتعارض مع جميع النصائح المقبولة في هذا الشأن، كما يتم تعزيزه باستمرار.
