Die LockBit-Hackergruppe, die Royal Mail-Daten verschlüsselte, verlangte von dem Unternehmen ein Lösegeld in Höhe von 65,7 Mio.
Die Verhandlungen mit den Hackern scheiterten nach mehr als dreiwöchigem Hin und Her, zu dem auch Diskussionen über die Einnahmen von Royal Mail und die geschäftlichen Herausforderungen des Unternehmens gehörten, wie aus einem von LockBit veröffentlichten Protokoll der Gespräche hervorgeht.
Die Hacker forderten einen neuen Verhandlungsführer und drohten damit, große Mengen an Royal Mail-Daten freizugeben, falls die Verhandlungen komplett scheitern sollten. Der größte britische Anbieter von Postdiensten bemüht sich um die Wiederherstellung der Paketzustellung in Übersee, seit seine Online-Verteidigung von der LockBit-Gruppe besiegt wurde.
LockBit sagte, es fordere 0,5 Prozent der Einnahmen von „Royal Mail International“ und bezog sich vermutlich auf den Jahresumsatz der Muttergesellschaft International Distribution Services, was zu einem Streit zwischen dem namentlich nicht genannten Unterhändler von Royal Mail und den Hackern führte.
„Unter keinen Umständen werden wir Ihnen den absurden Geldbetrag zahlen, den Sie gefordert haben“, sagte der Verhandlungsführer laut den durchgesickerten Chats. „Das ist ein Betrag, der von unserem Vorstand niemals ernst genommen werden könnte.“
Als der Verhandlungsführer zuvor von den Hackern gebeten wurde, die Einnahmen des Unternehmens zu schätzen, beklagte er sich: „Alles, was wir hatten, waren Verluste . . . Es gibt mehrere Artikel auf Google über unsere finanzielle Situation und wie schlecht sie derzeit ist.“
Obwohl das lukrative internationale Paketgeschäft von IDS profitabel geblieben ist, verliert die in Großbritannien ansässige Royal Mail Geld, da sie unter einem rückläufigen Briefgeschäft und mehreren Monaten Streiks leidet.
Royal Mail lehnte es ab, sich zur Echtheit der durchgesickerten Chats zu äußern. Während Ransomware-Verhandlungen ist es nicht ungewöhnlich, dass Hacker diese Kommunikation freigeben, um Druck auf ihre Opfer auszuüben. Die Chats wurden zuerst von ITpro.co.uk gemeldet
„Da noch Ermittlungen laufen, haben die Strafverfolgungsbehörden darauf hingewiesen, dass es unangemessen wäre, weitere Kommentare zu diesem Vorfall abzugeben“, sagte ein Sprecher.
Ransomware-Gruppen manipulieren oder fälschen manchmal Teile der von ihnen veröffentlichten Verhandlungen, und es war nicht möglich zu bestätigen, dass dies die letzte Kommunikation zwischen den beiden Parteien war.
Royal Mail muss noch offiziell bestätigen, dass LockBit seine Cyberabwehr durchbrochen, seine Daten verschlüsselt hat und nun Lösegeld verlangt.
Aber seine internationalen Dienste wurden lahmgelegt, nachdem es Anfang Januar ins Visier genommen wurde. Royal Mail hat nach Problemumgehungen gesucht, und Kunden können jetzt über ihre Website Pakete und Briefe ins Ausland versenden. Die Briten sind jedoch weiterhin nicht in der Lage, Pakete von Postämtern im ganzen Land ins Ausland zu versenden, während die Zustellung internationaler Lieferungen „etwas länger als gewöhnlich dauern kann“, warnte Royal Mail online.
Die angeblichen Hacker sind ein relativ neuer, aber produktiver Akteur in einem kriminellen Syndizierungsmodell namens „Ransomware as a Service“, bei dem die Hacker Methoden und maßgeschneiderte Malware mit jungen Hackern teilen und eingreifen, um Verhandlungen zu unterstützen, wenn sie ein großes Ziel erwischen.
Royal Mail ist das größte bekannte Ziel der Gruppe, die laut Sicherheitsforschern im Jahr 2023 das größte seiner Art weltweit sein wird. Royal Mail scheint sich aus den Verhandlungen zurückgezogen zu haben, nachdem sie einen Rabatt von 12,5 Prozent auf das ursprüngliche Lösegeld erhalten hatte.
Der Verhandlungsführer von Royal Mail bat LockBit, um den 3. Februar herum auf eine Antwort seines Vorstands zu warten, und scheint dann nicht an den Verhandlungstisch zurückgekehrt zu sein.
„Was wir bei diesen Gesprächen sehen können, ist, wie gut LockBit auf diese Verhandlungen vorbereitet ist. Sie wissen alles über das Opfer – Einnahmen, Größe und sogar relevante Vorschriften im Land des Opfers“, sagte Shmuel Gihon, ein Sicherheitsforscher bei CyberInt, der die Gruppe genau verfolgt hat.
Irgendwann scheint der Unterhändler um Hilfe gebeten zu haben, um eine große Datei zu entschlüsseln, und sagte, dies würde es Royal Mail ermöglichen, einige wichtige medizinische Geräte zu versenden, wurde jedoch von LockBit zurückgewiesen, der einen Plan zur Entschlüsselung wichtiger Dateien vermutete, der es Royal ermöglichen würde Mail, um die Funktionalität wiederherzustellen.
„Sie sind ein sehr kluger Verhandlungsführer – ich schätze Ihre Erfahrung im Hinhalten und Betrügen“, sagte der Verhandlungsführer von LockBit.