De hackers die verantwoordelijk zijn voor de ransomware-aanval op Royal Mail, vragen een bedrag van 80 miljoen dollar aan losgeld. Daarop kregen de daders een reactie die ze hoogstwaarschijnlijk niet verwachtten: “Wij hebben alleen maar verlies geleden”.
Dat blijkt uit een transcript tussen de hackers en Royal Mail die op het dark web is verschenen, zo schrijft The Guardian.
LockBit verantwoordelijk voor ransomware-aanval op Royal Mail
In januari slaagden hackers om de interne systemen van Royal Mail te infiltreren. Dat zorgde voor een hoop ellende bij het postbezorgingsbedrijf: meer dan een half miljoen brieven en pakketten konden toen niet worden bezorgd. Daarbovenop konden internationale poststukken niet worden verstuurd. Anderhalve week nadat de cyberaanval plaatsvond, konden klanten weer pakketten over de grens versturen.
Al snel bleek dat de aanvallers LockBit-ransomware hadden gebruikt om de boel op stelten te zetten. In ruil voor een deel van de opbrengst, mogen de afnemers van deze gijzelsoftware -ook wel affiliates genoemd- de kwaadaardige software gebruiken om slachtoffers af te persen. Ransomware-as-a-Service (Raas) noemen we dat ook wel.
Aanvankelijk ontkende de ontwikkelaar van LockBit dat zijn software bij de aanval op Royal Mail werd gebruikt. Later kwam hij daar op terug.
Hackers vinden losgeldbedrag redelijk
Nu zijn er meer details bekend over de gebeurtenissen bij het postbedrijf. Een deel van de onderhandelingsgesprekken tussen de hackers en Royal Mail is op het dark web verschenen. Daaruit blijkt dat de aanvallers een losgeldbedrag van 80 miljoen dollar, zo’n 74,7 miljoen euro, eisten voor de decoderingssleutel. Royal Mail had tot donderdag 9 februari de tijd om te betalen, anders dreigden de hackers de buitgemaakte gegevens openbaar te maken. Vlak voor het verstrijken van de deadline herinnerden de aanvallers het postbedrijf eraan dat het ‘tijd was’ om te betalen.
De daders claimden dat het bedrag redelijk was, omdat het slechts 0,5 procent van de jaaromzet bedroeg. Bovendien zou toezichthouder ICO een hogere boete opleggen als er privacygevoelige gegevens op straat zouden belanden. Europese privacywetgeving geeft toezichthouders de mogelijkheid om boetes tot 20 miljoen euro, of 4 procent van de wereldwijde omzet op te leggen. “Zolang we geen gegevens hebben gepubliceerd, kun je geen boete krijgen”, aldus de aanvallers.
‘Wij zullen nooit zo’n absurd losgeldbedrag betalen’
De onderhandelaar van Royal Mail reageerde op een manier die de hackers waarschijnlijk niet hadden verwacht. Hij zei dat ze de inkomsten van Royal Mail verwarden met die van moederbedrijf International Distribution Services (IDS). “Wij hebben alleen maar verlies geleden”, aldus de bemiddelaar. Om zijn argument kracht bij te zetten, verwees hij naar een artikel waarin stond dat er tienduizenden banen op de tocht staan bij het postbedrijf.
De hackers vermoedden dat de onderhandelaar probeerde te bluffen. Ze claimden dat de directeur 100 miljoen pond aan cryptovaluta bezat en zodoende “een einde aan deze nachtmerrie” kon maken. “Onder geen beding zullen wij zo’n absurd bedrag betalen”, reageerde de bemiddelaar. Hij vroeg om een lager losgeldbedrag.
Daarop besloten de hackers om de buitgemaakte gegevens op het dark web te zetten. “Royal Mail heeft een nieuwe onderhandelaar nodig [sic]”, zo luidde de boodschap van de aanvallers.
Een woordvoerder van Royal Mail zegt de gang van zaken niet te kunnen bevestigen, omdat het onderzoek nog in volle gang is.
