El Royal Mail es el servicio postal nacional de Reino Unido; realizan el clásico trabajo de enviar cartas y paquetes dentro y fuera del país. Posee más de 500 años de historia, y ofrece diferentes opciones de precios y seguimiento para los clientes.
Durante el 2022, el Royal Mail sufrió un cyberataque en el que se vinculó la operación de ransomware LockBit. Después del incidente, compartieron en una actualización en su servicio: “Royal Mail está experimentando una grave interrupción del servicio en nuestros servicios de exportación internacional tras un incidente cibernético”.
Lockbit 3.0: el ransomware que paralizó al Royal Mail
Los primeros en reportar del hecho fueron The Telegraph, quienes afirmaron que se trataba de un ataque de ransomware por parte de la operación LockBit o, al menos, alguien que utilizó sus cifradores.
El resultado fue típico de este tipo de ataques: cifrar los dispositivos utilizados para el envío internacional, y provocó que se imprimieran notas de rescate en las impresoras utilizadas para los documentos de aduanas. En esas notas de rescate impresas, incluyeron los sitios web de Tor para la operación de ransomware LockBit.
En la misma nota de rescate, se descubrió que fue creado por “LockBit Black Ransomware”, el nombre del último cifrador de la operación, ya que incluía un código y características de la banda de ransomware BlackMatter.
La nota también contenía varios enlaces a los sitios web de filtración de datos y negociación de Tor de la operación de ransomware LockBit, incluyendo un “ID de descifrado” necesario para iniciar sesión y chatear con los actores de la amenaza.
Sin embargo, BleepingComputer informó, por medio de investigadores de seguridad, que este “ID de descifrado” no funcionó. No estuvo claro si fue eliminado después de las noticias de las notas de rescate o si trasladaron las negociaciones a un nuevo ID para evitar el escrutinio de los investigadores y periodistas.
No obstante, el caso estuvo un poco inconcluso. Los investigadores de BleepingComputer contactaron a LockBitSupport, representante público de la operación de ransomware, y le dijeron que no atacaron al Royal Mail y culparon a otros actores de la amenaza que utilizan su constructor filtrado.
Curiosamente, en septiembre, el constructor de LockBit 3.0 Ransomware se filtró en Twitter. Esto permitió a otros actores de amenazas lanzar operaciones de ransomware basadas en el cifrador de LockBit.
El caso siguió sin quedar claro, y LockBitSupp no explicó por qué las notas de rescate del Royal Mail incluían enlaces a los sitios web de negociación y filtración de datos de Tor de LockBit, en lugar de los sitios web de los otros actores de la amenaza que supuestamente utiliza el constructor.
Lo que sí pudo entreverse es que, probablemente, se trató de un ataque destructivo y no para que algunos individuos se lucraran. Nunca fue posible dar con los verdaderos atacantes, pero todas las pistas lo llevaron a LockBit 3.0.
Lockbit 3.0: el ransomware que paralizó al Royal Mail
La principal sospecha para creer que el ataque al Royal Mail fue por LockBit 3.0 fue porque los atacantes utilizaron el generador de ransomware LockBit 3.0, que se filtró en Twitter en septiembre de 2022 (además, afirmaron que el ataque fue obra de otros hackers). Después de determinar que uno de sus miembros había instalado cargas útiles de ransomware en los sistemas del Royal Mail, LockBitSupp publicó en un sitio de hacking para confirmar que LockBit era el responsable del ataque.
Asimismo, LockBit Black Ransomware es el nombre del último cifrador de la operación LockBit 3.0, que incluye código y características de la banda de ransomware BlackMatter, que ahora está cerrada.
LockBit 3.0 funciona como un modelo de Ransomware-as-a-Service (RaaS) y es una continuación de las versiones anteriores del ransomware, LockBit 2.0 y LockBit. Desde enero de 2020, LockBit funciona como una variante de ransomware basada en afiliados; los afiliados que despliegan el RaaS de LockBit utilizan muchas TTPs diferentes y atacan a una amplia gama de empresas y organizaciones de infraestructura crítica, lo que puede dificultar la defensa y la mitigación efectivas de la red informática.
Es importante recordar que sus acciones son características típicas de un grupo de ransomware: tomar víctimas al azar, sin importar su mercado; y uno de ellos fue el Royal Mail. Prepararse ante posibles amenazas es apremiante, ¡establezca sus medidas preventivas con Eagle Tech Corp! Síganos para más detalles.
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp