Royal Mail supuestamente rechazó una demanda de rescate de $ 80 millones (£ 66 millones) de la pandilla de ransomware LockBit, diciendo que “bajo ninguna circunstancia” pagaría “la absurda cantidad de dinero” exigida.
Esto es según lo que parecen ser registros de chat filtrados por LockBit, publicados el 14 de febrero, que detallan semanas de negociaciones en profundidad entre LockBit y su víctima, que fue atacada el 10 de enero.
Más de un mes después, Royal Mail sigue sin poder proporcionar un servicio postal internacional completo, aunque mientras tanto ha estado volviendo a poner en línea partes de su operación de manera constante.
El 28 de enero, los registros muestran que el negociador de Royal Mail le dijo al representante de LockBit: “Hemos tratado repetidamente de explicarle que no somos la gran entidad que ha asumido que somos, sino una subsidiaria más pequeña sin los recursos que cree que tenemos. Pero sigues negándote a escucharnos. Esta es una cantidad que nuestra junta nunca podría tomar en serio”.
El 1 de febrero, los registros muestran que el representante de LockBit ofreció un descuento del 12,5 %, lo que habría reducido la demanda de rescate a aproximadamente 47,1 millones de libras esterlinas. En este punto, el representante de LockBit parece haberse frustrado cada vez más con el negociador de Royal Mail, regañándolos por tomarse su tiempo para responder y preguntándoles por qué tenían “una cadena tan larga de intermediarios” y por qué no podían simplemente hablar directamente con la gerencia. . También le dijeron a Royal Mail que “los periodistas me preguntan por qué no he publicado su información… realmente quieren ver sus archivos”.
La pandilla envió sus mensajes finales entre el 7 y el 9 de febrero, afirmando que los datos estaban “listos para ser publicados” y el descifrador estaba “listo para ser borrado”, antes de preguntar: “¿Tienen alguna oferta para mí?”. en ese momento la conversación se corta.
Un portavoz de Royal Mail se negó a confirmar la precisión de los registros. “Como hay una investigación en curso, la policía ha advertido que sería inapropiado hacer más comentarios sobre este incidente”, dijeron.
larga negociación
Los registros parecen mostrar que Royal Mail se puso en contacto por primera vez con la pandilla de ransomware el 12 de enero y pudo obtener pruebas de algunos robos de datos, un proceso que parece haberse prolongado hasta el 21 de enero, dos días después de que el servicio postal fuera pudo implementar algunas soluciones técnicas que evitaron los sistemas encriptados y le permitieron reanudar partes de sus operaciones.
El negociador le dijo a LockBit que algunos de los archivos encriptados pertenecían al envío de equipos médicos que salvan vidas, pero LockBit rechazó esta solicitud, afirmando que Royal Mail estaba obteniendo ganancias de miles de millones de dólares, esto no es cierto, y estaba siendo codicioso y tratando de obtener algo por nada.
También le dijeron a Royal Mail que la demanda de rescate fue sustancialmente menor que las multas regulatorias máximas que podría enfrentar de las autoridades del Reino Unido por una violación de datos.
“Todos sufrimos la crisis mundial y nuestros ingresos han caído tanto como los tuyos… eres cientos de veces más rico que nosotros”, dijo el representante de LockBit.
Negociación de ransomware
El registro completo, que ahora ha sido obtenido y revisado por Computer Weekly, se lee como una negociación de ransomware bastante estándar en la que el representante del ciberdelincuente presenta su raqueta de extorsión como algo similar a un servicio comercial legítimo, como el que una organización podría obtener de un genuino empresa de seguridad cibernética.
Los registros también revelan una idea de cómo se aconseja a las víctimas de ransomware que lleven a cabo una negociación.
A lo largo del proceso, el supuesto negociador de Royal Mail, comprensiblemente, gana tiempo con un enfoque formulado para sus respuestas, y advierte que debe comunicar varias ofertas a la junta, que generalmente necesita un par de días o un fin de semana para reunirse y tomar una decisión. que parece no llegar nunca.
A veces parecen presentarse como un empleado técnico de bajo nivel que está tratando de hacer que su liderazgo superior comprenda la escala del problema.
Todas estas tácticas tienen un efecto claro en los procedimientos, abriéndolos y dando al servicio postal una oportunidad de luchar para montar una respuesta más efectiva.
¿Porqué ahora?
Tim Mitchell, investigador de seguridad en Secureworks, quien como líder temático de la organización para LockBit ha estado rastreando el cártel de ransomware durante algún tiempo, compartió algunas ideas sobre por qué el grupo pudo haber elegido salir a bolsa.
“Cuando LockBit se mueve para publicar la conversación de negociación, generalmente ocurre después del hecho, cuando han descartado cualquier posibilidad de que les paguen, para disuadir a futuras víctimas”, dijo. “El mensaje es: ‘si no paga, podemos publicar archivos y compartir estos datos también’. Pero tal táctica también puede dejar la puerta abierta para futuras negociaciones.
“Hemos visto dos veces que LockBit emite plazos para la publicación de datos, y no se han publicado archivos aparte de esta conversación de negociación. El chat aún sugiere que tienen datos, por lo que las preguntas siguen siendo qué datos tienen y por qué no los han publicado. Dado que los sistemas de Royal Mail aún no alcanzan su capacidad operativa total para paquetes internacionales, ¿cuál es el costo continuo para el negocio?
Mitchell también señaló que la escala de la demanda de ransomware, una de las más altas jamás vistas, era “muy poco realista” por parte de LockBit.