Aangenomen wordt dat een ransomware-groep met banden met Rusland achter de cyberaanval van deze week zit, die de internationale exportdiensten van Royal Mail ontwrichtte.
De Postal Service heeft naar verluidt een losgeldeis ontvangen van LockBit, een hackergroep waarvan algemeen wordt aangenomen dat ze nauwe banden heeft met Rusland, zoals gerapporteerd door The Telegraph.
Printers op een distributiecentrum van Royal Mail in de buurt van Belfast in Noord-Ierland zijn naar verluidt begonnen met het afdrukken van losgeldbriefjes met de vermelding “Lockbit Black Ransomware”. Uw gegevens worden gestolen en versleuteld”.
Royal Mail vertelde klanten die pakketten naar het buitenland stuurden woensdag dat het te maken had met een “ernstige verstoring van de dienstverlening” als gevolg van een cyberincident.
Het bedrijf vroeg klanten om geen nieuwe artikelen in te dienen voor internationale bezorging, hoewel binnenlandse diensten en import onaangetast bleven.
Een verklaring zei dat het tijdelijk niet in staat was om exportartikelen, inclusief brieven en pakketten, naar overzeese bestemmingen te verzenden.
Royal Mail had het incident gemeld aan het door de Britse regering gerunde National Cyber Security Centre, de National Crime Agency en de Information Commissioner’s Office.
‘LockBit is een ransomware-aanval die afpersingsaanvallen combineert. Het zoekt automatisch naar mogelijke verdachten, verspreidt vervolgens de infectie en versleutelt alle toegankelijke computersystemen op een netwerk”, zegt Jake Moore, Global Cybersecurity Advisor bij ESET.
“Zodra de gegevens zijn gestolen en versleuteld, vinden afpersingstactieken plaats om meer geld te verdienen, zelfs als er een back-upproces is”, zei Moore. ‘Er zijn geen bestaande Lockbit-decoderingstools’
Preventieve maatregelen omvatten het gebruik van sterke eenmalige wachtwoorden in combinatie met multi-factor authenticatie. Bovendien moeten systemen voortdurend worden bijgewerkt met de juiste patches om bescherming te garanderen. Offsite en offline back-ups en een getest herstelproces zijn ook van vitaal belang.
Aanvallen met behulp van LockBit werd oorspronkelijk gelanceerd in september 2019toen het het “.abcd-virus” werd genoemd, verwijzend naar de naam van de bestandsextensie die werd gebruikt bij het coderen van de bestanden van een slachtoffer.
Organisaties in de Verenigde Staten, China, India, Indonesië, Oekraïne, Frankrijk, het Verenigd Koninkrijk en Duitsland zijn al het slachtoffer geworden van dit soort aanvallen.
Het is onduidelijk wanneer Royal Mail de internationale bezorging kan hervatten en of het zal voldoen aan de losgeldeisen.
“Ik adviseer altijd om nooit het losgeld te betalen, omdat het uiteindelijk toekomstige cyberaanvallen financiert, maar ik weet dat er in deze situaties meestal druk op hen wordt uitgeoefend en dit alles omdat de pushback hen bedreigt”, zei Moore.
“Het betalen van losgeld zal nooit een veilige doorgifte van gegevens garanderen en kan vaak tot andere problemen leiden – zowel financieel als fysiek.”
Moore gelooft dat het een ‘wake-up call’ zal zijn voor Royal Mail en andere bedrijven om hun systemen bij te werken, opnieuw te beoordelen en beter te beschermen.
Wat is LockBit, de Russische ransomwaregroep?
LockBit 2.0 betrad de cybercriminaliteit in juli 2021 als een syndicaat van afpersers die getalenteerde hackers samenbrachten om winst of zelfs politieke doelen te bereiken.
Op 23 augustus 2021, een Russisch sprekend technologieblog YouTube-kanaal ‘Russische OSNIT’ publiceerde een interview met LockBit-vertegenwoordigers waarin de details van hun operaties werden onthuld.
De hackers zeiden dat ze geen gezondheids- en onderwijsfaciliteiten of sociale diensten en liefdadigheidsinstellingen hebben aangevallen.
“We waarderen onze reputatie en vernietigen alle gegevens van het slachtoffer als het losgeld wordt betaald, waardoor volledige vertrouwelijkheid van de deal wordt gegarandeerd”, zeiden ze in het interview.
Vorig jaar werd in Canada een Russische exploitant van LockBit-ransomware gearresteerd door Europol.
MEER: Royal Mail kan geen brieven en pakketten naar het buitenland verzenden na ‘cyberincident’
MEER: Hackers beweren e-mailadressen van 200.000.000 Twitter-gebruikers te hebben gelekt