O ataque cibernético ao maior serviço de entrega de correspondência do Reino Unido, o Royal Mail, foi vinculado ao grupo de resgate LockBit.
O Royal Mail disse ontem que sofreu um incidente cibernético que os obrigou a interromper o envio internacional.
"O Royal Mail está enfrentando uma grande interrupção de serviço em nossos serviços de exportação internacional após um incidente cibernético", disse o Royal Mail em uma atualização de serviço .
Embora o Royal Mail não tenha fornecido detalhes sobre o ataque cibernético, eles disseram que estavam trabalhando com especialistas externos em segurança cibernética e notificaram os reguladores do Reino Unido e as autoridades.
O ataque usou o ransomware LockBit
Conforme relatado pela primeira vez pelo The Telegraph, agora foi confirmado que o ataque do Royal Mail foi um ataque de resgate da Operação LockBit, ou pelo menos alguém usando seu ransomware.
O Telegraph relata que o ransomware atacou dispositivos criptografados usados para remessas internacionais e forçou notas de resgate a serem impressas em impressoras usadas para declarações alfandegárias.
O BleepingComputer viu a versão não editada das notas de resgate impressas e pode confirmar que elas incluem sites Tor para a operação de ransomware LockBit.
Nota de resgate do LockBit 3.0 impressa durante o ciberataque do Royal Mail Fonte : Daniel no Twitter
Card A nota também contém vários links para sites de vazamento de dados Tor e sites de negociação vinculados à operação de extorsão LockBit, incluindo um "ID de descriptografia" necessário para entrar em um bate-papo com os invasores. No entanto, vários pesquisadores de segurança relataram ao BleepingComputer que esse "ID de descriptografia" não funciona.
Não está claro se a quadrilha "pentester" removeu o ID após a circulação das notícias dos registros do resgate, ou se mudou as negociações para um novo ID para evitar o escrutínio de pesquisadores e jornalistas.
A BleepingComputer contatou LockBitSupport, o porta-voz público da operação de ransomware, e foi informado de que eles não atacaram o Royal Mail e que culpam outros agentes de ameaças usando sua faucet.
Em setembro, a compilação do LockBit 3.0 chegou ao Twitter . Isso permitiu que outros invasores lançassem um ransomware baseado no ransomware LockBit.
LockBitSupp não explica por que as notas de resgate do Royal Mail continham links para os sites de negociação e vazamento de dados Tor do LockBit, e não para sites de outros invasores que supostamente usam o faucet.
No entanto, se LockBitSupp estiver dizendo a verdade e outros invasores usarem o construtor vazado no ataque, isso significaria que provavelmente foi um ataque destrutivo e não um ataque para ganho pessoal, já que não há como entrar em contato com os invasores reais.