Maksym Yemelyanov - stock.adobe.

Cyberattaque du Royal Mail : l’implication d’un affidé LockBit confirmée

Le ransomware LockBit 3.0, dit Black, a été utilisé dans la cyberattaque conduite contre Royal Mail, la poste britannique. L’implication d’un affidé, initialement réfutée par l’opérateur de la franchise mafieuse, a été confirmée.

[Mise à jour, le 16 janvier 2023 @ 18h30] L’opérateur de la franchise LockBit 3.0 a finalement reconnu que l’un de ses affidés était responsable de la cyberattaque subie, la semaine dernière, par la poste britannique.
Durant le week-end, l’opérateur a d’abord répété que sa franchise mafieuse n’était pas impliquée dans l’attaque, allant même jusqu’à inviter l’auteur à rejoindre ses rangs. Peu de temps après, il a indiqué, sur un forum russophone très fréquenté par les cybercriminels, avoir identifié l’attaquant concerné. Il l’a présenté comme l’un de ses dix meilleurs affidés, de ceux qui fournissent l’outil de déchiffrement et « effacent les données volées » une fois que le paiement a été effectué.
Pour l’heure, aucune revendication de l’attaque n’a été publiée sur le site vitrine de la franchise LockBit 3.0. 

[Article original, le 13 janvier 2023 @ 18h11] La poste britannique, le Royal Mail, a été contraint suspendre ses services internationaux à la suite d’une cyberattaque conduite avec le rançongiciel LockBit 3.0, dit Black.

Un porte-parole du Royal Mail a indiqué à nos confrères de ComputerWeekly (groupe TechTarget) que l’entreprise « connaît une grave perturbation de ses services d’exportation internationale suite à un cyberincident ». Et de préciser que « nous sommes temporairement dans l’incapacité d’expédier des articles d’exportation, notamment des lettres et des colis, vers des destinations étrangères. Nous avons demandé à nos clients de cesser temporairement d’envoyer des articles d’exportation dans le réseau pendant que nous nous efforçons de résoudre le problème. Certains clients peuvent subir des retards ou des perturbations sur des articles déjà expédiés à l’exportation. Nos opérations d’importation continuent d’assurer un service complet avec quelques retards mineurs ».

L’homologue britannique de l’Agence nationale de la sécurité des systèmes d’information (Anssi), le NCSC (National Cyber Security Center), a confirmé sur Twitter assister le Royal Mail.

Nos confrères du Telegraph ont eu accès à une note de rançon imprimée renvoyant au ransomware LockBit Black. Mais celle-ci ne suffit pas, seule, à conclure à l’implication d’un franchisé de LockBit 3.0.

En septembre, un « builder » de la franchise mafieuse a été rendu public. Il s’agit de l’outil permettant de générer, pour une victime donnée, le rançongiciel ainsi que l’outil de déchiffrement associé. Des usurpateurs utilisant ce builder ont déjà été observés à plusieurs reprises. C’est l’un d’eux qui s’est attaqué au centre hospitalier de Versailles, au mois de décembre dernier.

Si la note de rançon imprimée ne permet de conclure à l’implication d’un affidé de LockBit 3.0 ou à celle d’un usurpateur, c’est parce que le builder ne permet pas de modifier et personnaliser la note imprimée, mais uniquement celle déposée comme un fichier texte sur les machines compromises.

Dès lors, toute note imprimée par un ransomware produit à partir du builder de LockBit Black rendu public au mois de septembre dernier sera identique, affichant notamment des noms de domaine qui ne sont plus utilisés par la franchise depuis la fin du mois de mars 2022.

Nos confrères de Bleeping Computer ont sollicité l’opérateur de la franchise LockBit 3.0 qui a réfuté toute implication, de lui-même ou ses affidés, dans l’attaque conduite contre le Royal Mail.

Imprimée ou sous forme de fichier, la note de rançon contient un identifiant unique permettant d’accéder à l’espace de discussion ouvert par la franchise à l’intention de sa victime. Celui mentionné sur la note imprimée attribuée à la poste britannique ne fonctionne pas, selon nos confrères. À ce stade, il n’est pas confirmé que cet identifiant ait fonctionné, au moins temporairement.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close