(Aktualisiert am 16. Februar 2023 um 18:30 Uhr) Die Diskussion zwischen einem Vertreter von Royal Mail und einem Mitglied der LockBit 3.0-Franchise wurde am 14. Februar auf der Präsentationsseite des letzteren veröffentlicht. Es hebt Long-Trades hervor, die mit einer sehr hohen Nachfrage von 80 Millionen US-Dollar begannen. Am 1. Februar schlugen Cyberkriminelle vor, ihre Anforderungen um 12,5 % zu senken.
Laut dem Gespräch gelang es Royal Mail, den vollständigen Baum der gestohlenen Dateien zu erhalten, bevor die Verschlüsselungsgebühr ausgelöst wurde. Dies kommt nicht häufig vor. Es ist üblicher, dass der Angreifer nur ein Drittel zugibt. Aber die Wendung der Ereignisse legt eindeutig nahe, einen beauftragten Verhandlungsführer hinzuzuziehen, um die Lagebeurteilung zu beschleunigen, bis die Entscheidung getroffen ist, der Erpressung nicht nachzugeben, und dann Zeit zu gewinnen.
(Aktualisiert am 7. Februar 2023 um 16:15 Uhr) Die Angriffsbehauptung wurde schließlich am Dienstag, den 7. Februar, kurz vor 5 Uhr morgens mitteleuropäischer Zeit auf LockBit 3.0 des Franchise-Ladens veröffentlicht.
(Aktualisiert am 16. Januar 2023 um 18:30 Uhr) Der Betreiber der LockBit 3.0-Franchise hat endlich zugegeben, dass einer seiner Mitarbeiter für den Cyberangriff verantwortlich war, den die britische Post letzte Woche erlitten hat.
Am Wochenende wiederholte der Betreiber zunächst, dass sein Mafia-Franchise nicht an dem Angriff beteiligt war, und ging sogar so weit, den Autor einzuladen, sich seinen Reihen anzuschließen. Kurz darauf gab er in einem von Cyberkriminellen frequentierten russischsprachigen Forum an, den betreffenden Angreifer identifiziert zu haben. Er präsentierte es als einen seiner zehn besten Treuhänder, diejenigen, die das Entschlüsselungstool bereitstellen und „gestohlene Daten löschen“, sobald die Zahlung erfolgt ist.
Bisher wurden keine Behauptungen über den Angriff auf der LockBit 3.0-Franchise-Showcase-Site gepostet.
(Originalartikel, 13. Januar 2023 @ 18:11 Uhr) Die britische Post, die Royal Mail, war nach einem Cyberangriff mit der Ransomware LockBit 3.0 gezwungen, internationale Dienste einzustellen, sagt Black.
Ein Sprecher von Royal Mail sagte unseren Kollegen dazu ComputerWoche (TechTarget Group), dass das Unternehmen „nach einem Cybervorfall eine schwerwiegende Störung seiner internationalen Exportdienste erfährt“. Und um klarzustellen, dass „wir vorübergehend keine Exportartikel, einschließlich Briefe und Pakete, an ausländische Bestimmungsorte versenden können. Wir haben unsere Kunden gebeten, das Senden von Exportartikeln an das Netzwerk vorübergehend einzustellen, während wir an der Lösung des Problems arbeiten. Bei einigen Kunden kann es zu Verzögerungen oder Unterbrechungen bei Artikeln kommen, die bereits für den Export versandt wurden. Unser Importbetrieb bietet weiterhin vollen Service mit einigen geringfügigen Verzögerungen.“
Das britische Gegenstück zur National Information Systems Security Agency (Anssi), die NCSC (Nationales Zentrum für Cybersicherheit), Zu bestätigt auf Twitter an der Royal Mail teilnehmen.
Unsere Kollegen von Telegramm Zugriff auf eine ausgedruckte Lösegeldforderung erhalten, die sich auf die Ransomware LockBit Black bezieht. Dies allein reicht jedoch nicht aus, um darauf zu schließen, dass ein LockBit 3.0-Franchisenehmer beteiligt war.
Im September wurde ein “Erbauer” der Mafia-Franchise öffentlich gemacht. Dies ist das Tool, mit dem für ein bestimmtes Opfer die Ransomware sowie das zugehörige Entschlüsselungstool generiert werden. Usurpatoren, die dies verwenden Baumeister wurden bereits mehrfach beobachtet. Einer von ihnen griff letzten Dezember das Krankenhauszentrum von Versailles an.
Wenn die ausgedruckte Lösegeldforderung nicht auf die Beteiligung eines LockBit 3.0-Affidenten oder eines Usurpators schließen lässt, liegt das daran, dass die Baumeister erlaubt nicht, die gedruckte Notiz zu ändern und zu personalisieren, sondern nur die, die als Textdatei auf den kompromittierten Computern hinterlegt ist.
Daher kann jede Notiz, die von Ransomware gedruckt wird, aus der Baumeister von LockBit Black, das im vergangenen September veröffentlicht wurde, wird identisch sein und insbesondere Domainnamen anzeigen, die seit Ende März 2022 nicht mehr von der Franchise verwendet wurden.
Unsere Kollegen von Computer piepst fragte der Betreiber der LockBit 3.0-Franchise, der jegliche Beteiligung seiner selbst oder seiner Mitarbeiter an dem Angriff auf die Royal Mail abstritt.
Gedruckt oder in Form einer Datei enthält die Lösegeldforderung eine eindeutige Kennung, die den Zugang zum Chatroom ermöglicht, der von der Franchise für ihr Opfer eröffnet wurde. Die auf der gedruckten Notiz erwähnte, die der britischen Post zugeschrieben wird, funktioniert laut unseren Kollegen nicht. Zu diesem Zeitpunkt ist unbestätigt, dass diese ID zumindest vorübergehend funktioniert hat.
