LockBitランサムウェア操作にリンクされたRoyal Mailサイバー攻撃

英国最大のメール配信サービスである Royal Mail に対するサイバー攻撃は、LockBit ランサムウェアの操作に関連付けられています。

昨日、Royal Mail は、国際配送サービスの停止を余儀なくされたサイバー事件に見舞われたことを明らかにしました。

「Royal Mail は、サイバー インシデントに続いて、国際輸出サービスに深刻なサービス中断が発生しています」と、Royal Mail はサービス アップデートで明らかにしました。

Royal Mail はサイバー攻撃の詳細を明らかにしていませんが、外部のサイバーセキュリティの専門家と協力しており、英国の規制当局と法執行機関に通知したと述べています。

攻撃で使用された LockBit ランサムウェア エンクリプタ

The Telegraphが最初に報告したように、Royal Mail への攻撃は、LockBit 操作によるランサムウェア攻撃であることが確認されました。

The Telegraph は、ランサムウェアが国際配送に使用されるデバイスを暗号化し、通関書類に使用されるプリンターに身代金メモを印刷させたと報告しています。

印刷された身代金メモの編集されていないバージョンを確認したところ、LockBit ランサムウェア操作のための Tor Web サイトが含まれていることが確認できました。

身代金メモには、「LockBit Black Ransomware」によって作成されたことが記載されています。これは、現在閉鎖されている BlackMatter ランサムウェア ギャングのコードと機能が含まれているため、この操作の最新の暗号化ツール名です。

このメモには、攻撃者とチャットするためにログインするために必要な「復号化 ID」を含む、LockBit ランサムウェア操作の Tor データ漏洩サイトおよび交渉サイトへの複数のリンクも含まれています。

しかし、複数のセキュリティ研究者から、この「復号化 ID」は機能しないと言われています。

ランサムウェア ギャングが、身代金メモが広まっているというニュースの後で ID を削除したのか、それとも研究者やジャーナリストによる精査を避けるために交渉を新しい ID に移したのかは不明です。

ランサムウェア オペレーションの公開担当者である LockBitSupport に連絡したところ、彼らは Royal Mail を攻撃しておらず、漏洩したビルダーを使用している他の脅威アクターのせいであるとのことでした。

9 月には、 LockBit 3.0 ランサムウェア ビルダーが Twitter で流出しました。これにより、他の攻撃者が LockBit の暗号化機能に基づいてランサムウェア操作を開始できるようになりました。

LockBitSupp の説明では、Royal Mail の身代金メモに LockBit の Tor ネゴシエーション サイトやデータ リーク サイトへのリンクが含まれていた理由が説明されていません。

ただし、LockBitSupp が真実を語り、他の攻撃者がリークされたビルダーを攻撃に使用した場合、実際の攻撃者に連絡する方法がないため、これは個人的な利益のためではなく、破壊的な攻撃である可能性が高いことを意味します。