De Britse dienstverlener Capita heeft van de Britse privacytoezichthouder ICO een boete van omgerekend 16 miljoen euro gekregen wegens een door ransomware veroorzaakt datalek waarbij de gegevens van 6,6 miljoen personen werden gestolen. Voor sommige mensen ging het om zeer gevoelige gegevens, waaronder details over strafbladen, financiële gegevens of bijzondere persoonsgegevens. Oorspronkelijk was de ICO van plan een boete van omgerekend 52 miljoen euro op te leggen.

De aanval, die plaatsvond in 2023, begon toen er een malafide JavaScript-bestand onbedoeld op het systeem van een medewerker werd gedownload. Hoe deze download kon plaatsvinden kon Capita niet zeggen. Mogelijk ging het om een drive-by-download aanval. Vervolgens werden de Qakbot-malware en Cobalt Strike-tool op het systeem gedownload. De download van het malafide JavaScript-bestand genereerde binnen tien minuten een "high priority" beveiligingswaarschuwing bij het Security Operations Centre. Het systeem van de medewerker werd pas na 58 uur in quarantaine geplaatst. In de tussentijd kon de aanvaller verdere aanvallen uitvoeren en andere systemen compromitteren.

De aanvaller wist zijn rechten te verhogen en uiteindelijk als domain administrator in te loggen. Rond 29 en 30 maart maakte de aanvaller één terabyte aan data buit. Op 31 maart werd de ransomware door de aanvaller op de systemen van Capita uitgerold. Daarnaast werden de wachtwoorden van alle Capita-medewerkers door de aanvaller gereset, zodat die niet meer op hun systemen konden inloggen.

De ICO deed onderzoek naar de aanval en het datalek en stelde dat de beveiliging van Capita op allerlei vlakken tekort schoot. Zo had het bedrijf geen maatregelen genomen om te voorkomen dat de aanvaller zijn rechten kon verhogen en zich lateraal door het netwerk kon bewegen. Daarnaast werd er niet adequaat gereageerd op de beveiligingswaarschuwing. Dit gebeurde pas na 58 uur. Ook bleek het Security Operations Centre van Capita onderbemand. Capita liet ook geen reguliere penetratietests uitvoeren. Alleen bij de lancering vond een dergelijke test plaats en werden tijdens deze test gevonden problemen niet in de gehele organisatie opgelost, maar alleen bij de betreffende afdeling waar de test was uitgevoerd.

Oorspronkelijk was de ICO van plan om een boete van omgerekend 52 miljoen euro op te leggen. Nadat Capita op het voorgenomen boetebesluit had gereageerd en verzachtende factoren had aangetoond, besloot de toezichthouder het bedrag te verlagen. Zo had het bedrijf na de aanval allerlei verbeteringen doorgevoerd, support aan getroffen personen aangeboden en samengewerkt met andere toezichthouders en het Britse National Cyber Security Centre. Capita heeft aangegeven dat het niet tegen de boete in beroep gaat en die zal betalen.