Royal Mail, sözde LockBit fidye yazılımı çetesinden gelen 80 milyon dolarlık (66 milyon sterlin) fidye talebini “hiçbir koşulda” talep edilen “saçma miktarda parayı” ödemeyeceğini söyleyerek geri çevirdi.
Bu, LockBit tarafından 14 Şubat’ta sızdırılan sohbet günlüklerine göre, LockBit ile 10 Ocak’ta saldırıya uğrayan kurbanı arasında haftalarca süren derinlemesine müzakerelerin ayrıntılarını veriyor.
Bir aydan fazla bir süre sonra Royal Mail, bu arada operasyonunun bazı kısımlarını düzenli bir şekilde tekrar çevrimiçi hale getirmesine rağmen, tam bir uluslararası posta hizmeti sağlayamıyor.
28 Ocak’ta kayıtlar, Royal Mail müzakerecisinin LockBit’in temsilcisine şunları söylediğini gösteriyor: “Size, sandığınız gibi büyük bir varlık olmadığımızı, sahip olduğumuzu düşündüğünüz kaynaklara sahip olmayan daha küçük bir yan kuruluş olduğumuzu defalarca açıklamaya çalıştık. Ama bizi dinlemeyi reddetmeye devam ediyorsunuz. Bu, kurulumuz tarafından asla ciddiye alınamayacak bir miktardır.”
1 Şubat’ta günlükler, LockBit temsilcisinin fidye talebini yaklaşık 47,1 milyon sterline düşürecek olan %12,5’lik bir indirim teklif ettiğini gösteriyor. Bu noktada, LockBit’in temsilcisi, Royal Mail’in arabulucusundan giderek daha fazla rahatsız olmuş, yanıt vermek için zaman ayırdıkları için onları azarlamış ve onlara neden “bu kadar uzun bir aracılar zincirine” sahip olduklarını ve neden doğrudan yönetimle konuşamayacaklarını sormuş gibi görünüyor. . Ayrıca Royal Mail’e “gazeteciler bana bilgilerinizi neden yayınlamadığımı soruyorlar … dosyalarınızı gerçekten görmek istiyorlar” dediler.
Çete, son mesajlarını 7-9 Şubat tarihleri arasında göndererek verilerin “yayınlanmaya hazır” ve şifre çözücünün “silinmeye hazır” olduğunu belirterek, “Bana bir teklifiniz var mı?” bu noktada konuşma kesilir.
Bir Royal Mail sözcüsü, günlüklerin doğruluğunu onaylamayı reddetti. “Devam eden bir soruşturma olduğundan, kolluk kuvvetleri bu olay hakkında daha fazla yorum yapmanın uygun olmayacağını bildirdi” dediler.
Uzun müzakere
Günlükler, Royal Mail’in fidye yazılımı çetesiyle ilk olarak 12 Ocak’ta bağlantı kurduğunu ve bir miktar veri hırsızlığına dair kanıt elde edebildiğini gösteriyor; şifrelenmiş sistemleri atlayan ve operasyonlarının bazı kısımlarını sürdürmesini sağlayan bazı teknik geçici çözümleri uygulayabilir.
Müzakereci LockBit’e şifrelenmiş dosyalardan bazılarının hayat kurtaran tıbbi ekipmanın nakliyesiyle ilgili olduğunu söyledi, ancak LockBit, Royal Mail’in milyarlarca dolar kar elde ettiğini – bu doğru değil – ve açgözlü davrandığını ve almaya çalıştığını belirterek bu talebi reddetti. hiçbir şey için bir şey.
Ayrıca Royal Mail’e fidye talebinin, bir veri ihlali nedeniyle Birleşik Krallık makamlarının karşı karşıya kalabileceği maksimum düzenleyici para cezalarından önemli ölçüde daha az olduğunu söylediler.
LockBit’in temsilcisi, “Hepimiz küresel krizden muzdaripiz ve gelirimiz sizinki kadar düştü… siz bizden yüzlerce kat daha zenginsiniz” dedi.
Fidye yazılımı müzakeresi
Şu anda Computer Weekly tarafından elde edilen ve incelenen tam günlük, siber suç temsilcisinin şantaj raketini meşru bir iş hizmetine benzer bir şey olarak sunduğu, örneğin bir kuruluşun gerçek bir yerden satın alabileceği oldukça standart bir fidye yazılımı müzakeresi olarak okunuyor. siber güvenlik şirketi.
Günlükler ayrıca, fidye yazılımı kurbanlarına bir müzakere yürütmeleri konusunda nasıl tavsiye edildiğine dair bazı bilgiler de ortaya koyuyor.
Süreç boyunca, sözde Royal Mail müzakerecisi, anlaşılır bir şekilde, cevaplarına formülsel bir yaklaşımla zaman kazanıyor ve kurula çeşitli teklifler iletmeleri gerektiğini tavsiye ediyor; bu, genellikle bir araya gelip bir karara varmak için birkaç gün veya bir hafta sonu gerektiriyor. bu asla gelmeyecek gibi görünüyor.
Bazen kendilerini, üst düzey yöneticilerinin sorunun boyutunu anlamasını sağlamaya çalışan düşük seviyeli bir teknik çalışan olarak sunarlar.
Tüm bu taktiklerin işlemler üzerinde açık bir etkisi vardır, onları dışarı çeker ve posta hizmetine daha etkili bir yanıt vermesi için savaşma şansı verir.
Neden şimdi?
Kuruluşun LockBit için tematik lideri olarak bir süredir fidye yazılımı kartelini izleyen Secureworks’te bir güvenlik araştırmacısı olan Tim Mitchell, grubun neden halka açılmayı seçmiş olabileceğine dair bazı bilgiler paylaştı.
“LockBit, müzakere konuşmasını yayınlamak için harekete geçtiğinde, bu genellikle olay gerçekleştikten sonra, gelecekteki kurbanlara caydırıcı olmak için herhangi bir ödeme alma şansını iptal ettiklerinde gerçekleşir” dedi. “Mesaj şu: ‘Ödemezseniz, dosyaları yayınlayabilir ve bu verileri de paylaşabiliriz’. Ancak böyle bir taktik, daha fazla müzakere için kapıyı açık bırakabilir.
“Şimdi iki kez, LockBit’in veri yayınlamak için son tarihler yayınladığını gördük ve bu müzakere görüşmesi dışında hiçbir dosya yayınlanmadı. Sohbet hala verileri olduğunu öne sürüyor – bu nedenle hangi verilere sahip oldukları ve neden bunları yayınlamadıkları soruları devam ediyor. Royal Mail sistemleri hala uluslararası paket için tam operasyonel kapasiteye ulaşmamışken, işletmeye devam eden maliyet nedir?
Mitchell ayrıca, şimdiye kadar görülen en yüksek düzeylerden biri olan fidye yazılımı talebinin ölçeğinin LockBit açısından “büyük ölçüde gerçekçi olmadığını” belirtti.