Cyberattaque du Royal Mail : l'attaquant voulait 80 millions de dollars

[Mise à jour, le 16 février 2023 @ 18h30] La discussion entre un représentant de Royal Mail et un membre de la franchise LockBit 3.0 a été publiée le 14 février sur le site vitrine de cette dernière. Elle fait ressortir de longs échanges ayant commencé par une demande très élevée, de 80 millions de dollars. Le 1er février, les cybercriminels avaient proposé de revoir leurs exigences à la baisse de 12,5 %.

Selon la conversation, Royal Mail a réussi à obtenir l’arborescence complète des fichiers dérobés avant le déclenchement de la charge de chiffrement. Cela ne se produit pas fréquemment. Il est plus habituel que l’assaillant en concède seulement un tiers. Mais la tournure prise par les évènements suggère clairement l’implication d’un négociateur mandaté pour accélérer l’évaluation de la situation, jusqu’à que soit prise la décision de ne pas céder au chantage, puis de gagner du temps. 

[Mise à jour, le 7 février 2023 @ 16h15] La revendication de l’attaque a finalement été publiée sur le site vitrine de la franchise LockBit 3.0, peu avant 5h du matin, heure de l’Europe centrale, ce mardi 7 février. 

[Mise à jour, le 16 janvier 2023 @ 18h30] L’opérateur de la franchise LockBit 3.0 a finalement reconnu que l’un de ses affidés était responsable de la cyberattaque subie, la semaine dernière, par la poste britannique.

Durant le week-end, l’opérateur a d’abord répété que sa franchise mafieuse n’était pas impliquée dans l’attaque, allant même jusqu’à inviter l’auteur à rejoindre ses rangs. Peu de temps après, il a indiqué, sur un forum russophone très fréquenté par les cybercriminels, avoir identifié l’attaquant concerné. Il l’a présenté comme l’un de ses dix meilleurs affidés, de ceux qui fournissent l’outil de déchiffrement et « effacent les données volées » une fois que le paiement a été effectué.
Pour l’heure, aucune revendication de l’attaque n’a été publiée sur le site vitrine de la franchise LockBit 3.0. 

[Article original, le 13 janvier 2023 @ 18h11] La poste britannique, le Royal Mail, a été contraint suspendre ses services internationaux à la suite d’une cyberattaque conduite avec le rançongiciel LockBit 3.0, dit Black.

Un porte-parole du Royal Mail a indiqué à nos confrères de ComputerWeekly (groupe TechTarget) que l’entreprise « connaît une grave perturbation de ses services d’exportation internationale suite à un cyberincident ». Et de préciser que « nous sommes temporairement dans l’incapacité d’expédier des articles d’exportation, notamment des lettres et des colis, vers des destinations étrangères. Nous avons demandé à nos clients de cesser temporairement d’envoyer des articles d’exportation dans le réseau pendant que nous nous efforçons de résoudre le problème. Certains clients peuvent subir des retards ou des perturbations sur des articles déjà expédiés à l’exportation. Nos opérations d’importation continuent d’assurer un service complet avec quelques retards mineurs ».

L’homologue britannique de l’Agence nationale de la sécurité des systèmes d’information (Anssi), le NCSC (National Cyber Security Center), a confirmé sur Twitter assister le Royal Mail.

Nos confrères du Telegraph ont eu accès à une note de rançon imprimée renvoyant au ransomware LockBit Black. Mais celle-ci ne suffit pas, seule, à conclure à l’implication d’un franchisé de LockBit 3.0.

En septembre, un « builder » de la franchise mafieuse a été rendu public. Il s’agit de l’outil permettant de générer, pour une victime donnée, le rançongiciel ainsi que l’outil de déchiffrement associé. Des usurpateurs utilisant ce builder ont déjà été observés à plusieurs reprises. C’est l’un d’eux qui s’est attaqué au centre hospitalier de Versailles, au mois de décembre dernier.

Si la note de rançon imprimée ne permet de conclure à l’implication d’un affidé de LockBit 3.0 ou à celle d’un usurpateur, c’est parce que le builder ne permet pas de modifier et personnaliser la note imprimée, mais uniquement celle déposée comme un fichier texte sur les machines compromises.

Dès lors, toute note imprimée par un ransomware produit à partir du builder de LockBit Black rendu public au mois de septembre dernier sera identique, affichant notamment des noms de domaine qui ne sont plus utilisés par la franchise depuis la fin du mois de mars 2022.

Nos confrères de Bleeping Computer ont sollicité l’opérateur de la franchise LockBit 3.0 qui a réfuté toute implication, de lui-même ou ses affidés, dans l’attaque conduite contre le Royal Mail.

Imprimée ou sous forme de fichier, la note de rançon contient un identifiant unique permettant d’accéder à l’espace de discussion ouvert par la franchise à l’intention de sa victime. Celui mentionné sur la note imprimée attribuée à la poste britannique ne fonctionne pas, selon nos confrères. À ce stade, il n’est pas confirmé que cet identifiant ait fonctionné, au moins temporairement.