Se sospecha que el infame cártel de ransomware LockBit está detrás de un incidente de seguridad cibernética en curso en Royal Mail del Reino Unido, que paralizó los sistemas de TI y dejó al servicio postal incapaz de enviar cartas y paquetes al extranjero.
Las copias filtradas de la nota de ransomware parecen identificar a la prolífica pandilla con sede en Rusia como los culpables. Como es práctica estándar, los perpetradores afirmaron haber encriptado y robado los datos de Royal Mail. No se reveló el valor del rescate que se exige, aunque es probable que esté en el extremo superior de la escala.
Aunque se entiende que la nota de rescate incluye enlaces genuinos a sitios de filtraciones de la web oscura y herramientas de negociación utilizadas por LockBit, el sitio web de noticias de seguridad computadora pitido informó anteriormente que existe la posibilidad de que el actor de amenazas detrás del ataque esté usando una versión filtrada del generador de ransomware de LockBit y no esté directamente asociado con la pandilla.
Royal Mail no ha confirmado ni negado la veracidad de las afirmaciones. En una actualización del servicio esta mañana (viernes 13 de enero), la organización dijo: “Royal Mail está experimentando una grave interrupción del servicio en nuestros servicios de exportación internacional luego de un incidente cibernético.
“No podemos enviar artículos temporalmente a destinos en el extranjero. Recomendamos enfáticamente que retenga temporalmente cualquier elemento de correo de exportación mientras trabajamos para resolver el problema. Los artículos que ya han sido enviados pueden estar sujetos a retrasos. Nos gustaría disculparnos sinceramente con los clientes afectados por cualquier interrupción que este incidente esté causando.
“Nuestras operaciones de importación continúan realizando un servicio completo, con algunos retrasos menores. Los servicios de exportación de Parcelforce Worldwide todavía están operando a todos los destinos internacionales, aunque los clientes deben esperar retrasos de uno o dos días.
“Nuestros equipos están trabajando las 24 horas para resolver esta interrupción y lo actualizaremos tan pronto como tengamos más información. Inmediatamente iniciamos una investigación sobre el incidente y estamos trabajando con expertos externos. Hemos informado el incidente a nuestros reguladores y a las autoridades de seguridad pertinentes”.
Múltiples víctimas
LockBit se ha cobrado varias víctimas en el Reino Unido en los últimos seis meses, incluido el proveedor de software del NHS Advanced, y es uno de los cárteles de ransomware más activos en la escena actual.
También se considera que es una de las operaciones más sofisticadas en juego, y el malware de su casillero se actualiza y actualiza regularmente para convertirlo en una amenaza más peligrosa y para despistar a los investigadores, investigadores y periodistas.
Uno de sus ataques de alto perfil más recientes tuvo lugar el día de Navidad de 2022 contra la Administración del Puerto de Lisboa (APL) en Portugal.
Tim Mitchell, investigador principal de seguridad de la Unidad de Contraamenazas de Secureworks, dijo: “Si este fue el trabajo de LockBit, la escala del impacto del incidente dependerá en gran medida de la afiliada particular involucrada.
“Las personas principales detrás del ransomware LockBit ejecutan posiblemente el esquema de ransomware como servicio más prolífico, por lo que no es de extrañar que representara casi un tercio de las víctimas nombradas en todos los sitios de fugas de ransomware en 2022”, dijo.
“LockBit se ha utilizado para realizar de todo, desde cifrados en toda la red que han paralizado a las organizaciones hasta la implementación de ransomware en solo unos pocos hosts con un impacto limitado en las operaciones de la víctima.
“Hasta que no sepamos los detalles de este incidente, no sabremos con certeza qué impacto tendrá esto a largo plazo en Royal Mail”, agregó Mitchell.
El jefe de estrategia del Reino Unido de Orange Cyberdefense, Dominic Trott, dijo que, como resultado de una filtración de datos de clientes anterior en noviembre de 2022 que obligó a Royal Mail a suspender temporalmente su servicio en línea Click and Drop, la organización podría haber estado mejor preparada para responder al ataque actual. .
“Esta infracción anterior significa que ha tenido una ‘práctica’ reciente del proceso de notificación de infracción obligatoria de la Oficina del Comisionado de Información (ICO) del Reino Unido. No obstante, Royal Mail habrá estado bien preparado para este tipo de incidentes, y claramente ha informado a las autoridades necesarias de manera oportuna para limitar el daño potencial”, dijo Trott.
“En concreto, ya ha hecho público que está trabajando con el Centro Nacional de Seguridad Cibernética del Reino Unido y el ICO para investigar el incidente. Pero además, como componente de la infraestructura nacional crítica del Reino Unido, según lo determina la Directiva de redes y sistemas de información dentro de la ley del Reino Unido, debe cumplir con estándares más altos de resiliencia operativa, incluso desde una perspectiva de resiliencia cibernética, que la mayoría de las organizaciones”.