El grupo de ransomware como servicio (RaaS) LockBit, ha publicado datos que supuestamente pertenecen a Royal Mail, la empresa de servicio postal del Reino Unido. Transcurrido más de un mes desde que la compañía confirmara que había sufrido un ciberataque, los delincuentes han publicado parte de la información robada en su blog en la ‘dark web’.

Los datos filtrados están disponibles para su descarga a través de un archivo 7-Zip comprimido de 44 GB, así como una enumeración del contenido del archivo en un documento de texto sin formato.

Ad

Además, desde LockBit siguen exigiendo un rescate, ahora de 33 millones de libras esterlinas, una suma considerablemente inferior a los 65 millones que pedían originalmente.

Según el análisis inicial de los documentos publicados, entre ellos se encuentran una serie de archivos confidenciales relacionados con varios departamentos del negocio.

Los registros de Recursos Humanos de un empleado, incluida su primera, segunda y tercera advertencia disciplinaria, y uno que detalla su último despido, se incluyen en los miles de archivos filtrados.

Otros archivos contienen información del pago de salarios y horas extras de empleados con sus nombres completos adjuntos al documento. Asimismo, un gran número de los archivos filtrados procedían del OneDrive de un empleado con imágenes, sus registros de vacunas, entre otros documentos.

Por el momento, Royal Mail aún no ha confirmado la veracidad de esos documentos, pero sí ha comunicado que «es consciente de que un tercero no autorizado ha publicado algunos datos supuestamente obtenidos de nuestra red».

Asimismo, consideran que la gran mayoría de datos robados son archivos de programas técnicos y datos comerciales administrativos. «Toda la evidencia sugiere que estos datos no contienen información financiera u otra información confidencial del cliente», añade.

LAPSUS$ ciberdelincuentes detenidos hackers ransomware noticia bit life media

Los datos en poder de LockBit

Según el árbol de los archivos proporcionado por LockBit parece confirmar las afirmaciones de Royal Mail y la mayoría de los archivos no son de naturaleza confidencial. Aunque también se ha filtrado el historial de negociaciones con Royal Mail y miles de archivos supuestamente extraídos de sus sistemas.

La compañía, en declaraciones al rotativo The Telegraph, ha señalado que los datos personales de alrededor de 200 empleados estaban involucrados en la filtración y que los afectados ya han sido informados.

Lo que aún no está claro es por qué LockBit aún exige un rescate ahora que ha filtrado los datos de la empresa y se desconoce si pueden tener datos adicionales o si necesitan un descifrador para restaurar completamente sus sistemas.

Por el momento, el Royal Mail ha señalado que los servicios de exportación internacional se han restablecido a todos los destinos y ya están procesando volúmenes diarios de correo de exportación internacional cercanos a los normales, aunque con algunos retrasos.

ransomware peligroso ciberseguridad ataques proteccion noticia bit life media

Información sin precedentes sobre las negociaciones de ransomware

El pasado 14 de febrero, LockBit publicó todo el historial de negociaciones entre el grupo y Royal Mail International, ofreciendo una visión poco común de las tácticas de negociación de la operación de ransomware.

Se trata de más de un mes de negociaciones, probablemente gestionadas y planificadas por el Centro Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional contra el Crimen (NCA) del Reino Unido.

La transcripción de las negociaciones, que se realizaron a través de mensajes de texto instantáneos, muestra las tácticas de las autoridades del Reino Unido, como intentar persuadir a LockBit para que enviara archivos para demostrar que su descifrador funcionaba.

LockBit se dio cuenta de que, con esta táctica que quería engañar a los ciberdelincuentes para que descifraran los archivos necesarios para realizar una recuperación completa sin pagar el rescate. En ese momento, los delincuentes pedían 65,7 millones de libras esterlinas.

Posteriormente, este montante bajó hasta los 57,4 millones de libras esterlinas, pero los negociadores de Royal Mail consideraron que era una suma demasiado grande para pagarla.

Siguiendo el consejo del NCSC de no pagar nunca los rescates, el Royal Mail hizo caso omiso a las peticiones de los ciberdelincuentes. Un hecho que se ha saldado con la publicación de 44 GB de datos robados. La incógnita ahora es si LockBot tiene aún más datos que exponer públicamente y por lo que seguir con su chantaje.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre