El cártel de ransomware LockBit ha confirmado que estuvo detrás del ataque cibernético del 10 de enero a los sistemas de Royal Mail, que dejó al servicio postal del Reino Unido incapaz de aceptar correo para envíos internacionales, cuyas ramificaciones todavía se sienten un mes después.
La participación de LockBit en el ciberataque de Royal Mail se postuló por primera vez el 13 de enero después de que se filtraran copias de la nota de rescate. Sin embargo, el grupo inicialmente trató de negar su responsabilidad, afirmando que el ataque fue el resultado de una filtración de su código fuente por parte de un desarrollador descontento, y luego que un afiliado había llevado a cabo la intrusión sin el conocimiento del operador.
Aunque Royal Mail aún debe confirmar que está lidiando con un ataque de ransomware, las capturas de pantalla del sitio web oscuro de LockBit vistas por Computer Weekly confirman que el grupo es responsable de la situación del servicio postal.
La pandilla amenaza con filtrar datos no especificados robados de los sistemas de Royal Mail el 9 de febrero si no se paga.
Un portavoz de Royal Mail dijo: “Royal Mail está al tanto de que un tercero no autorizado ha dicho que planea publicar algunos datos supuestamente obtenidos de nuestra red. El incidente cibernético afectó un sistema relacionado con el envío de correo al extranjero. En esta etapa de la investigación, creemos que la gran mayoría de estos datos se componen de archivos de programas técnicos y datos comerciales administrativos. Toda la evidencia sugiere que estos datos no contienen información financiera u otra información confidencial del cliente.
“Actuamos rápidamente para aislar y contener el problema y no tenemos evidencia de ningún impacto en el resto de la red de Royal Mail. Inmediatamente notificamos a la Oficina del Comisionado de Información [ICO] como medida de precaución cuando nos enteramos del incidente cibernético, y continuamos trabajando en estrecha colaboración con las agencias de aplicación de la ley. Royal Mail se disculpa sinceramente por cualquier preocupación que este desarrollo pueda causar”.
Ross Brewer, director de ingresos de Simspace, especialista en rangos cibernéticos, capacitación y ejercicios de seguridad de “fuego real”, comentó: “Esto continúa destacando la necesidad de una vigilancia proactiva y pruebas continuas para prevenir estas situaciones. Dado que Royal Mail se considera una infraestructura nacional crítica, podemos esperar ver demandas de rescate extorsionistas.
“Un ransomware típico o una amenaza persistente avanzada sigue un patrón estructurado. Les gusta hacerlo bastante ‘bajo y lento’ porque no quieren ser identificados para llegar a su objetivo. Por lo general, lo harán durante un período de días, semanas o meses, y es por eso que es importante que las organizaciones capaciten a su personal para que puedan reconocer las señales reveladoras de estos intrusos en la red y detenerlos antes. se convierte en un problema crítico”, dijo.
La organización altamente activa LockBit se está convirtiendo rápidamente en una espina clavada en el costado de las organizaciones del Reino Unido debido a los múltiples ataques de las últimas semanas.
A principios de febrero, la pandilla golpeó los sistemas de Ion Group, un proveedor de software para la industria de servicios financieros, en un incidente que paralizó la capacidad de muchos comerciantes de la ciudad de Londres para hacer su trabajo de manera efectiva.
LockBit había amenazado con publicar los datos de Ion el sábado 4 de febrero, pero el viernes se eliminó de la lista del sitio de fugas en la web oscura de la pandilla, y un portavoz de LockBit confirmó más tarde que Reuters que un “filántropo desconocido muy rico” había pagado un rescate.
No se ha confirmado si esto es cierto o no, e Ion se ha negado rotundamente a hacer más comentarios, pero si se pagó un rescate, esto va en contra de las mejores prácticas de seguridad cibernética aceptadas.
Brewer dijo: “El 71 % de las organizaciones del Reino Unido se enfrentaron al ransomware el año pasado; lamentablemente, el 13 % de ellas pagó el rescate. Sin embargo, esto es intrascendente porque los piratas informáticos tienen una copia digital de sus datos y aún pueden venderlos a otro grupo en la web oscura como les plazca. Es por eso que muchas organizaciones encargadas de hacer cumplir la ley recomiendan no pagar rescates”.