La pandilla LockBit ha publicado un historial de chat que muestra sus negociaciones con Royal Mail.
El asociación LockBit finalmente ha renunciado a cualquier posibilidad de extraer un rescate de Royal Mail y publicó los archivos que robó de la empresa en un flamante ataque de ransomware. La filtración pone fin a semanas de negociaciones, dejando a Royal Mail sin un descifrador y a LockBit sin un día de suscripción.
Malwarebytes considera a LockBit como uno de los Las cinco ciberamenazas más graves a las que se enfrentan las empresas en 2023. Fue el ransomware como servicio (RaaS) más utilizado en 2022, con diferencia. Representó casi un tercio de todos los ataques RaaS conocidos el año pasado, y la maduro demanda de rescate que hizo fue la asombrosa cantidad de $ 50 millones. En febrero de 2023 pidió a Royal Mail 80 millones de dólares.
Adjunto con los archivos filtrados, la pandilla LockBit ha publicado un historial de chat que muestra las negociaciones entre las dos partes. Quizás el asociación esté tratando de acreditar su valentía de abolir la negociación y filtrar los archivos robados, o quizás sea una advertencia para otras víctimas.
Podría estudiar esto como una negociación fallida o una oportunidad perdida para Royal Mail, pero yo no. Creo que la conversación entre Royal Mail y LockBit muestra poco congruo diferente.
Sospecho que Royal Mail nunca tuvo la intención de acreditar un rescate. Ciertamente no mostró voluntad de comprometerse con los ridículos $ 80 millones que se le exigieron, y parece sobrevenir tenido al negociador de LockBit bailando a su ritmo en todo momento.
La negociación comenzó el 12 de enero de 2023 y, como cualquier chat en Internet, la conversación se lleva a agarradera entre dos avatares que pueden o no ser quienes dicen ser. Cuando el negociador de LockBit pregunta con quién están hablando, el representante de Royal Mail dice “Trabajo en nuestra TI”.
Tal vez trabajaron en TI, pero posteriormente de sobrevenir pasado abriles trabajando en TI, y posteriormente de ver cómo se comportó el representante de Royal Mail, simplemente diré que no se parecen a nadie que haya conocido. Tal vez solo son buenos negociadores por naturaleza, o tal vez escucharon nuestro flamante podcast sobre negociaciones de ransomwarepero hay muchas posibilidades de que en verdad fuera un negociador profesional de ransomware.
En el podcast, el negociador de ransomware Kurtis Minder revela que el primer trabajo en una situación como esta es percibir tiempo, sin incomodar al representante de la manada de ransomware. Una buena forma de descender la temperatura es adoptar la franja vernácula egoísta de la pandilla de ransomware, dice, y el “tipo de TI” de Royal Mail lo hace de forma sutil, como referirse a la actividad criminal de LockBit como “prueba de penetración”. A las pandillas de ransomware les gustan ese tipo de tonterías por alguna razón, tal vez les ayude a acostarse por la indeterminación.
Cobrar tiempo es importante porque le permite a la víctima compendiar la maduro cantidad de información posible, comprender sus opciones y arriesgarse su mejor respuesta. Necesitan comprender qué sistemas se ven afectados, cómo la ordenamiento puede funcionar sin ellos temporalmente y qué se necesitará para restaurarlos o reconstruirlos. Además tendrán numerosas partes interesadas a las que involucrar y deberes que cumplir: se deben cumplir las obligaciones legales, involucrar a las fuerzas del orden notorio, seguir las reglas de ciberseguros, informar a los clientes y proveedores, etc.
Royal Mail siempre logra percibir tiempo con LockBit. Aunque las primeras 24 horas del chat están salpicadas de un idioma urgente y vagamente amenazador diseñado para apresurar a la víctima: “no se demore”, “apúrate”, “nuestra paciencia no es infinita”, LockBit rápidamente se ve remolcado a la maleza. Las dos primeras semanas de negociación se dedicaron casi por completo a una tediosa conversación sobre cómo descifrar archivos grandes.
Según el negociador de Royal Mail, “mi gestión ha escuchado que su descifrador podría no funcionar en archivos grandes”. (Esta táctica de invocar a un regente quisquilla o difícil de complacer le resultará frecuente a cualquiera que alguna vez haya regateado con un mercader por un automóvil). Ya sea que la curiosidad de Royal Mail sobre el descifrado de archivos grandes fuera genuina o una artimaña, creó una inversión de roles en la conversación. , con Royal Mail haciendo las preguntas y LockBit brindando las respuestas, para demostrar que puede satisfacer las micción de Royal Mail.
El negociador de Royal Mail igualmente trató de ganarse la confianza al posicionarse como un intermediario justo entre los que intentan hacer lo mejor para ambas partes. Usaron constantemente un idioma como “Estoy tratando de ayudar a nuestro equipo senior a entender esto”, “Todavía estoy tratando de trabajar con ustedes aquí”, “Estoy haciendo lo que puedo para impulsar las cosas”.
Cuando la conversación finalmente se centró en el parné, rápidamente encontró más maleza. Esta vez, la maleza espinosa se formó por un desacuerdo sobre a quién había atacado LockBit. LockBit pensó que estaba hablando con Royal Mail. La víctima les dijo que son Royal Mail International, una subsidiaria que genera pérdidas de Royal Mail con una facturación mucho beocio.
LockBit pidió un rescate de 80 millones de dólares, el 0,5 por ciento de la facturación integral anual de Royal Mail. Royal Mail respondió que usando el cálculo de LockBit, una buena “monograma auténtico” sería $4 millones, según las finanzas de Royal Mail International.
En este punto de la negociación, LockBit positivamente reconoció a qué se enfrentaba. “Eres un negociador muy inteligente”, escribieron, “aprecio tu experiencia en el estancamiento y el simulación”.
Es posible que lo hayan apreciado, pero no parecían capaces de hacer nadie al respecto. En este punto de la negociación, Royal Mail dictaba el cronograma: “No tendremos nadie nuevo de qué departir hasta el lunes”, “Confirme que esperará la valentía (de la corporación) el lunes”.
LockBit hizo lo que se le dijo y esperó. Finalmente, el posterior mensaje de Royal Mail llegó el 6 de febrero de 2023. Sugería que la empresa probablemente nunca tuvo intención de acreditar. “Para ser honesto contigo, he pabellón que ellos (la corporación) podrían no querer pagarte por esto”, dijo. “En nuestra perspectiva, los archivos se filtraron cuando los sacó de nuestro sistema, y acreditar no lo deshará de ninguna forma”.
Los ataques de ransomware pueden ser devastadores, y es difícil afirmar que estar al final de uno sea una “fruto” para el objetivo. Sin secuestro, la mayoría de los expertos están de acuerdo en que todo lo que puede hacer es resumir las posibilidades de que ocurra un ataque y resumir el impacto si ocurre. Solo puedes apostar la mano que te reparten, y creemos que dada la mano que estaban jugando, la negociación de Royal Mail estuvo tan cerca de percibir como una pérdida como esta.
Cómo evitar el ransomware
- Encerrar formas comunes de entrada. Crear un plan para parcheando vulnerabilidades en sistemas orientados a Internet rápidamente; deshabilitar o endurecer el acceso remoto como RDP y VPN; usar software de seguridad de punto final que puede detectar exploits y malware utilizados para entregar ransomware.
- Detectar intrusiones. Haga más difícil que los intrusos operen adentro de su ordenamiento segmentando las redes y asignando derechos de camino con prudencia. Usar EDR o MDR para detectar actividad inusual antiguamente de que ocurra un ataque.
- Detener el secreto zorro. Implemente software de detección y respuesta de puntos finales como Malwarebytes EDR que utiliza múltiples técnicas de detección diferentes para identificar ransomware.
- Cree copias de seguridad fuera del sitio y fuera de diámetro. Mantenga las copias de seguridad fuera del sitio y fuera de diámetro, fuera del difusión de los atacantes. Pruébelos regularmente para cerciorarse de que puede restaurar las funciones comerciales esenciales rápidamente.
- Escribir un plan de respuesta a incidentes. El período posterior a un ataque de ransomware puede ser caótico. Elabore un plan que describa cómo aislará un brote, se comunicará con las partes interesadas y restaurará sus sistemas.
No solo informamos sobre las amenazas, las eliminamos
Los riesgos de ciberseguridad nunca deben ocupar más allá de un titular. Mantenga las amenazas fuera de sus dispositivos al descargando Malwarebytes hoy.