Een Brits drinkwaterbedrijf heeft een boete van omgerekend 1,1 miljoen euro gekregen wegens een groot datalek veroorzaakt door een ransomware-aanval die begon met een phishingmail. De aanvallers bleken twintig maanden lang onopgemerkt in het netwerk van South Staffordshire Water aanwezig te zijn geweest voordat ze toesloegen. De eerste fase van de aanval begon in september 2020, toen een medewerker een besmette bijlage van een phishingmail opende. Hierbij werd de SDBbot-malware geïnstalleerd waarmee de aanvaller toegang tot het systeem kregen.

De aanvallers bleven twintig maanden onopgemerkt in het netwerk. Op 17 mei 2022 besloten ze zich lateraal door het netwerk te bewegen en kregen ze toegang tot twintig verschillende endpoints. Bij de aanval, opgeëist door de Cl0p-ransomwaregroep, werd ruim vier terabyte aan data buitgemaakt en op internet gepubliceerd. Het ging om de persoonlijke gegevens van zo'n 634.000 mensen, waaronder namen, adresgegevens, e-mailadressen, geboortedatums, geslacht, rekeningnummers en telefoonnummers.

De Britse privacytoezichthouder ICO deed onderzoek naar het datalek en ontdekte dat de beveiliging van het drinkwaterbedrijf ernstig tekort schoot. Zo werd er gebruik gemaakt van het niet meer ondersteunde Windows Server 2003, waren patches voor de ZeroLogon kwetsbaarheid (CVE-2020-1472) niet geïnstalleerd, werd slechts vijf procent van de it-omgeving gemonitord, kon de aanvaller dankzij 'limited controls' adminrechten krijgen en vonden er geen periodieke securityscans plaats.

Het datalek werd daarnaast pas ontdekt wegens prestatieproblemen en de aanwezigheid van een losgeldboodschap die de aanvallers hadden achtergelaten. Oorspronkelijk was de ICO van plan een boete van omgerekend 1,85 miljoen euro op te leggen. Het drinkwaterbedrijf accepteerde de bevindingen van de toezichthouder en gaf aan de boete zonder beroep te zullen betalen, waarop de ICO een korting van veertig procent toepaste.