La pandilla de ransomware LockBit filtró un tramo de datos extraídos de los sistemas de TI de Royal Mail durante su ataque cibernético de enero de 2022, y estableció una nueva demanda de rescate de 33 millones de libras esterlinas a medida que renueva sus esfuerzos para obligar al servicio postal a ceder.
La prolífica operación de ransomware de habla rusa había establecido previamente una demanda de rescate de £ 66 millones, que Royal Mail rechazó como una cantidad de dinero “absurda”, antes de reducirla a aproximadamente £ 47 millones.
Cortó las negociaciones con el servicio postal alrededor del 9 de febrero pero, a pesar de sus amenazas iniciales, no publicó ninguno de los datos que robó hasta el 23 de febrero, cuando se filtró un volcado de 44 GB a través de su sitio web oscuro.
Según un análisis preliminar, el contenido de los archivos se relaciona con varias partes del negocio de Royal Mail e incluye información técnica, contratos con proveedores externos, registros disciplinarios de personal y recursos humanos, detalles de salarios y pagos de horas extras, e incluso la cuenta de un miembro del personal. Registros de vacunación Covid-19.
Un portavoz de Royal Mail dijo: “Royal Mail tiene conocimiento de que un tercero no autorizado ha publicado algunos datos supuestamente obtenidos de nuestra red. El incidente cibernético afectó un sistema relacionado con el envío de correo al extranjero.
“En esta etapa de la investigación, creemos que la gran mayoría de estos datos se componen de archivos de programas técnicos y datos comerciales administrativos. Toda la evidencia sugiere que estos datos no contienen información financiera u otra información confidencial del cliente. Continuamos trabajando de cerca con las agencias de aplicación de la ley”, dijeron.
El impacto del ataque de enero en los clientes de Royal Mail ya ha pasado en gran medida, con los últimos servicios internacionales restantes a través de las sucursales de la oficina de correos restaurados a principios de esta semana.
En el punto álgido de la interrupción, la organización no pudo procesar ni enviar cartas o paquetes a destinos fuera del Reino Unido, lo que dejó a muchos propietarios de pequeñas empresas que confían en sus servicios para enviar productos a clientes en el extranjero en una posición extremadamente difícil.
En el momento de escribir este artículo, Royal Mail dijo que actualmente estaba procesando volúmenes de correo diarios “casi normales”, con algunas demoras residuales, y aunque las cosas están volviendo a la normalidad, es posible que los clientes aún encuentren algunos problemas al enviar cartas y paquetes en el extranjero en los próximos días y semanas.
Mientras tanto, la Oficina de Correos ha dicho que aumentará la remuneración de los administradores de correos por un tiempo para ayudarlos a recuperar parte del negocio que perdieron debido a la interrupción del servicio.
Tim Mitchell, investigador de seguridad y líder temático de LockBit en Secureworks, comentó: “La mayoría de los ataques a organizaciones por parte de pandillas como LockBit son oportunistas, explotan una vulnerabilidad o credenciales robadas y obtienen todos los datos que pueden, independientemente de lo que sea. Pero es importante recordar que incluso si los datos no contienen PII [personally identifiable information] o lo que Royal Mail consideraría confidencial, aún podría ser valioso para los actores de amenazas.
“Royal Mail podría no considerar los datos que fueron robados y ahora publicados como confidenciales, pero eso no impidió que sus operaciones internacionales se vieran significativamente afectadas durante seis semanas. Independientemente de la demanda de rescate financiero, el dolor operativo que LockBit ha causado al negocio es una prueba del daño que el ransomware puede causar en una organización”, dijo Mitchell.