Selon le site Internet de la poste britannique, ils n'ont pas eu de chance le vendredi 13 : la Royal Mail a été victime d'une cyberattaque et n'est actuellement pas en mesure de traiter le courrier international. Apparemment, un partenaire affilié a frappé avec le rançongiciel LockBit.
La première chose qui m'est venue à l'esprit au Royal Mail a été le groupe LockBit, lorsque les machines ont été cryptées et qu'une note de rançon a été imprimée. Cependant, dans ce cas, seuls les outils LockBit, c'est-à-dire le ransomware, ont été utilisés par un partenaire affilié. Ces partenaires utilisent le ransomware et l'infrastructure de LockBit et donnent un pourcentage élevé de leur butin en retour. Pour LockBit, le commerce des rançongiciels et de l'extorsion est encore plus gratifiant. Il est également clair qu'un partenaire affilié de cyber gangsters a frappé au Royal Mail, car le Royal Mail n'est pas répertorié comme victime sur la page de fuite de LockBit.
Royal Mail informe ses clients de la cyberattaque
La poste britannique informe ses clients de l'incident sur son site Internet. "ROYAL MAIL INTERNATIONAL EXPORT SERVICES, Royal Mail connaît une grave interruption de service de nos services d'exportation internationale à la suite d'un cyberincident."
"Nous ne sommes temporairement pas en mesure d'expédier des articles à l'étranger. Pour permettre une récupération plus rapide, nous demandons aux clients de ne pas expédier d'articles internationaux jusqu'à nouvel ordre. Ceci afin d'éviter une accumulation d'articles d'exportation dans notre réseau. Des retards peuvent survenir pour les articles qui ont déjà été expédiés. Nous nous excusons sincèrement auprès des clients concernés pour la perturbation causée par cet incident... Nos équipes travaillent XNUMXh/XNUMX et XNUMXj/XNUMX pour résoudre cette perturbation et nous vous tiendrons au courant dès que nous aurons plus d'informations. Nous avons immédiatement lancé une enquête sur l'incident et travaillons avec des experts extérieurs. Nous avons signalé l'incident à nos régulateurs et aux autorités de sécurité compétentes."
Que s'est-il passé?
Le Telegraph rapporte que le ransomware a attaqué les appareils cryptés utilisés pour les expéditions internationales. Après cela, la note de rançon n'a pas été affichée mais imprimée sur des imprimantes normalement utilisées pour les documents douaniers. L'impression avec la note de rançon indique qu'elle a été créée par "LockBit Black Ransomware". Cela semble être un nouveau groupe ou un groupe affilié. Le site bleepingcomputer.com pense que le rançongiciel contient du code et des fonctionnalités du gang de rançongiciels BlackMatter, aujourd'hui disparu.
L'impression contient également plusieurs liens vers des sites de fuite de données Tor et des pages de négociation de gangs de rançongiciels LockBit pour lesquels un ID de déchiffrement est utilisé pour se connecter. Le chat devrait alors se cacher derrière lui afin de négocier avec les attaquants. Cependant, l'ID ne semble pas fonctionner. Il est donc difficile de savoir si le gang a supprimé la note de rançon ou déplacé le chat ailleurs.
Rouge./sel
Plus sur RoyalMail.com