İngiltere’nin en büyük posta dağıtım hizmeti olan Royal Mail’e yapılan bir siber saldırı, LockBit fidye yazılımı operasyonuyla ilişkilendirildi.
Dün Royal Mail, uluslararası nakliye hizmetlerini durdurmaya zorlayan bir siber olay yaşadıklarını açıkladı.
Royal Mail bir hizmet güncellemesinde “Royal Mail, bir siber olayın ardından uluslararası ihracat hizmetlerimizde ciddi hizmet kesintisi yaşıyor” dedi.
Royal Mail siber saldırı hakkında herhangi bir ayrıntı vermezken, harici siber güvenlik uzmanlarıyla çalıştıklarını ve Birleşik Krallık’taki düzenleyicileri ve kolluk kuvvetlerini bilgilendirdiklerini söylediler.
Saldırıda kullanılan LockBit fidye yazılımı şifreleyici
İlk olarak The Telegraph tarafından bildirildiği üzere, Royal Mail’e yapılan saldırının artık LockBit operasyonu veya en azından şifreleyicilerini kullanan biri tarafından yapılan bir fidye yazılımı saldırısı olduğu doğrulandı.
The Telegraph, fidye yazılımının uluslararası nakliye için kullanılan cihazları şifrelediğini ve fidye notlarının gümrük belgeleri için kullanılan yazıcılara yazdırılmasına neden olduğunu bildirdi.
BleepingComputer, basılı fidye notlarının düzeltilmemiş bir sürümünü gördü ve bunların LockBit fidye yazılımı operasyonu için Tor web sitelerini içerdiğini doğrulayabilir.
Fidye notu, şu anda kapalı olan BlackMatter fidye yazılımı çetesinden kod ve özellikler içerdiğinden, operasyonun en son şifreleyici adı olan “LockBit Black Ransomware” tarafından oluşturulduğunu belirtiyor.
Not ayrıca LockBit fidye yazılımı operasyonunun Tor veri sızıntısı sitelerine ve müzakere sitelerine, tehdit aktörleriyle sohbet etmek için oturum açmak için gereken bir ‘Şifre Çözme Kimliği’ de dahil olmak üzere birden fazla bağlantı içerir.
Ancak, BleepingComputer’a birden çok güvenlik araştırmacısı tarafından bu “Şifre Çözme Kimliği”nin çalışmadığı söylendi.
Fidye yazılımı çetesinin, dolaşan fidye notları haberinin ardından kimliği silip silmediği veya araştırmacıların ve gazetecilerin incelemesinden kaçınmak için müzakereleri yeni bir kimliğe taşıyıp taşımadığı açık değil.
BleepingComputer, fidye yazılımı operasyonunun halka açık temsilcisi LockBitSupport’a ulaştı ve onlara Royal Mail’e saldırmadıkları ve sızdırılan kurucularını kullanan diğer tehdit aktörlerini suçladıkları söylendi.
Eylül ayında, LockBit 3.0 fidye yazılımı oluşturucunun Twitter’da sızdırılması, diğer tehdit aktörlerinin LockBit’in şifreleyicisine dayalı fidye yazılımı operasyonları başlatmasına yol açtı.
LockBitSupp’un açıklaması, Royal Mail’in fidye notlarının, oluşturucularını kullandıkları iddia edilen diğer tehdit aktörleri yerine neden LockBit’in Tor müzakere ve veri sızıntısı sitelerine bağlantılar içerdiğini açıklamıyor.
Ancak, LockBitSupp doğruyu söylüyorsa ve diğer tehdit aktörleri saldırıda sızdırılan oluşturucuyu kullandıysa bu, gerçek saldırganlarla iletişim kurmanın bir yolu olmadığı için bunun muhtemelen kişisel kazanç için değil, yıkıcı bir saldırı olduğu anlamına gelir.