De hackers die in januari het Britse postbezorgingsbedrijf Royal Mail aanvielen, hebben hiervoor ransomware die bekendstaat als LockBit gebruikt. Aanvankelijk ontkende de ontwikkelaar dat zijn gijzelsoftware hier iets mee te maken had, maar hij erkent nu op een Russisch hackersforum dat LockBit toch is gebruikt bij de aanval. De daders dreigen nog steeds om de buitgemaakte data te wissen als er geen losgeld wordt betaald.
Dat schrijft BleepingComputer, die de ontwikkelingen vanaf dag één op de voet volgen.
Dit ging eraan vooraf
Op 10 januari wisten onbevoegden de interne systemen van Royal Mail binnen te dringen. Een half miljoen brieven en pakketten konden toen niet worden bezorgd. Klanten konden eveneens geen internationale stukken verzenden. Het postbedrijf uit het Verenigd Koninkrijk deed het voorval af als een ‘cyberincident’. Desondanks meldde de pakketbezorger de gebeurtenissen bij het National Crime Agency, het National Cyber Security Centre en de Information Commissioner’s Office (ICO).
Al snel bleek dat er meer aan de hand was dan Royal Mail deed voorkomen. Ransomware had het backofficesysteem platgelegd, waardoor de internationale poststukken en pakketten zich op meerdere locaties begonnen op te stapelen. Het postbedrijf riep mensen via sociale media op om geen internationale brieven of pakketten te versturen.
Na bijna anderhalve week konden klanten weer brieven over de grens verzenden. Het versturen van pakketten was toen nog steeds niet mogelijk. Op 26 januari, zestien dagen na de ransomware-aanval, kon men ook weer internationale pakketten versturen.
LockBit erkent dat hackers hun gijzelsoftware hebben gebruikt
Snel genoeg na de cyberaanval werd al duidelijk dat het om gijzelsoftware van LockBit ging. Hackers en cybercriminelen mogen deze ransomware gebruiken als ze hiervoor een licentie afnemen. In ruil daarvoor staan de daders -ook wel affiliates genoemd- een deel van de opbrengst af aan de ontwikkelaars. Dit verdienmodel wordt ook wel Ransomware-as-a-Service (RaaS) genoemd.
Na de cyberaanval ontkende LockBitSupport op een hackersforum op het dark web dat haar gijzelsoftware was gebruikt bij de aanval. In plaats daarvan gaf de helpdesk de schuld aan hackers die de LockBit 3.0 ransomware builder hadden gebruikt. Deze lekte in september 2022 uit. Waarom de gijzelsoftware op de systemen van Royal Mail verwees naar de Tor-onderhandelingspagina van de groep, kon ze niet verklaren.
Royal Mail heeft nog één dag de tijd om losgeld te betalen
De klantenservice van LockBit komt nu terug op haar eerdere beweringen en bevestigt dat LockBit door een van haar partners is gebruikt voor de ransomware-aanval op Royal Mail. Een woordvoerder van LockBit dreigt op een Russisch hackersforum de gestolen informatie te vernietigen als het Britse postbezorgingsbedrijf niet over de brug komt met het losgeld. Om welk bedrag het gaat is onbekend.
Als Royal Mail de decryptiesleutel wil hebben, heeft het bedrijf nog tot donderdag 9 februari half 5 ’s ochtends Nederlandse tijd om het losgeldbedrag op tafel te leggen.
