Um ataque cibernético contra o serviço postal britânico Royal Mail, que viu a empresa solicitar que os clientes deixassem de enviar correio para o estrangeiro através dos seus serviços, foi ligado a hackers russos.
A Royal Mail informou o público do ataque cibernético de 11 de Janeiro, dizendo que tinha causado “graves perturbações” nos sistemas informatizados utilizados para enviar correio para o estrangeiro. A empresa “lançou imediatamente uma investigação sobre o [cyber] incidente” e utilizou a ajuda do Centro Nacional de Ciber-Segurança do Reino Unido, do Gabinete do Comissário de Informação e da Agência Nacional do Crime para travar novos ataques.
O sistema afectado pelo ataque cibernético foi utilizado em seis sítios do Royal Mail, incluindo no centro de distribuição do aeroporto de Heathrow da empresa, e tem sido utilizado para localizar e localizar itens enviados para o estrangeiro, bem como para preparar o correio a ser enviado para o estrangeiro.
Estamos a sofrer perturbações nos nossos serviços de exportação internacional e somos temporariamente incapazes de enviar artigos para destinos no estrangeiro.
Por favor, não afixe nenhum artigo de exportação enquanto trabalhamos para resolver a questão.
Lamentamos qualquer perturbação que isto possa causar.
– Royal Mail Help (@RoyalMailHelp) 12 de Janeiro de 2023
Na sequência do “ciber incidente”, como foi referido pela Royal Mail, a empresa pediu aos clientes que parassem de enviar correio para o estrangeiro devido a grandes atrasos, que incluíam a impossibilidade temporária de exportar ou expedir itens. Houve também pequenos atrasos no correio de entrada para o Reino Unido proveniente do estrangeiro, embora o correio nacional não tenha sido afectado pelo ataque.
A 12 de Janeiro, foi noticiado por vários sítios noticiosos que o anteriormente referido “incidente cibernético” era de facto um ataque cibernético contra o Royal Mail pelo gang russo de resgate como serviço (RaaS) LockBit.
O Telegraph tem uma cópia da nota de resgate enviada à Royal Mail, que a obrigou a suspender as entregas internacionais
Diz: “Lockbit Black Ransomware”. Os seus dados são roubados e encriptados”.
😬😬😬https://t.co/14BWkVp8du pic.twitter.com/A3wBpmkMPx
– Rowland Manthorpe (@rowlsmanthorpe) 12 de Janeiro de 2023
Os impressores do centro de distribuição do Royal Mail em Belfast, Irlanda do Norte, começaram a imprimir cartas do bando. As cartas alegadamente informaram as pessoas do escritório que a LockBit black ransomware era responsável pela perturbação e que “o seu [sic] são roubados e encriptados” e uma ameaça de colocação online se os pedidos de resgate não forem satisfeitos.
O site de notícias de segurança cibernética Bleeping Computer informou que tinha visto uma versão não predeterminada da carta de resgate e confirmou que incluía “os websites Tor para a operação de resgate da LockBit”. O sítio observou, contudo, que o ID de descodificação fornecido na nota que permitiria à Royal Mail comunicar com os actores maliciosos não funcionava. Bleeping Computer disse que não ficou claro se a identificação foi apagada após a nota de resgate ter sido distribuída ou se as negociações foram transferidas para uma nova identificação para “evitar o escrutínio de jornalistas e investigadores”.
O Royal Mail não disse publicamente que a LockBit foi responsável pelo ataque.
O que é a LockBit?
A LockBit é uma organização russa RaaS que utiliza métodos de dupla extorsão nos seus ataques cibernéticos. Em ataques de dupla extorsão, os actores maliciosos roubam e encriptam dados sensíveis, o que coloca uma pressão adicional sobre a vítima para pagar o resgate.
O bando tem estado activo desde 2019 e rapidamente se tornou notório. Foi descoberto pela Digital Shadows que a LockBit foi responsável por 38% dos ataques de resgates em todo o mundo de Janeiro de 2022 a Março de 2022.
Usando a sua ferramenta malware Stealbit e sistema de encriptação Lockbit 2.0, o bando automatiza a filtragem de dados para extorquir as suas vítimas.
O bando atacou várias grandes organizações e empresas, incluindo o Ministério da Justiça francês, Bridgestone Americas, Thales Group e Bangkok Airways.