RANSOMWARE LOCKBIT ATACA A UNA COMPAÑÍA DE SERVICIO POSTAL EN REINO UNIDO

13/01/2023

BOLETÍN NRO 2023-034

Recientemente un ciberataque contra Royal Mail, el mayor servicio de reparto de correo del Reino Unido ha sido relacionado con la operación del ransomware LockBit.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICA

Aunque Royal Mail no proporcionó ningún detalle sobre el ciberataque, dijo que estaba trabajando con expertos externos en ciberseguridad y que ha notificado a los reguladores del Reino Unido.

Según un medio de comunicación, el ataque a Royal Mail fue un debido ransomware perteneciente a LockBit, operado por un grupo que utilizó su cifrador.

El ataque del ransomware encriptó dispositivos utilizados para envíos internacionales y provocó la impresión de notas de rescate en impresoras utilizadas en los despachos de aduanas. Un investigador que tuvo acceso a las notas de rescate impresas confirmo que los datos del sitio web Tor correspondía al ransomware LockBit.

La nota también contenia múltiples enlaces a los sitios Tor y de negociación de LockBit, incluido un ID de descifrado necesario para iniciar sesión y conversar con los ciberdelincuentes.

Sin embargo, varios investigadores de seguridad han informado que este ID de descifrado no funciona. Aquí no está claro si el grupo eliminó el ID tras conocerse la noticia de la circulación de las notas de rescate o si trasladaron las negociaciones a un nuevo ID para evitar el escrutinio de investigadores y periodistas.

Cuando se puso en contacto con LockBitSupport, el representante de la operación de ransomware, dijo que no atacaron Royal Mail y culparon a otros grupos de utilizar su constructor filtrado. La explicación no indicó por qué las notas de rescate de Royal Mail incluían enlaces a sus sitios de negociación Tor y de filtración de datos.

Sin embargo, si LockBitSupport está diciendo la verdad y fue otro grupo quien uso el constructor filtrado en el ataque, entonces podría significar que esto fue probablemente un ataque con el fin de destruir información en Royal Mail.

Indicadores de Compromiso

Dominio

orangebronze[.]com

lockbitks2tvnmwk[.]onion

lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion

lockbit-decryptor[.]com

Hash

MD5: 0859a78bb06a77e7c6758276eafbefd9

SHA-256: ffbb6c4d8d704a530bdd557890f367ad904c09c03f53fda5615a7208a0ea3e4d

MD5: 4940a5a6d1d89c780d40ea2191bdba23

SHA-256: f6d2349b05292993e4c0b45019c46d2b188c058ff864ba11d6c3fad789083c05

MD5: af9ff037caca1f316e7d05db86dbd882

SHA-256: f3e891a2a39dd948cd85e1c8335a83e640d0987dbd48c16001a02f6b7c1733ae

MD5: 4d25a9242eac26b2240336fb94d62b1e

SHA-256: f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202

MD5: 5b741c6abf44d2eecd853addeafdcf24

SHA-256: f173904cf7d15c9c52f22813cb846814f9292227f4321d497cbf14adc05151f4

MD5: 612a58fd67717e45d091ed3c353c3263

SHA-256: ec88f821d22e5553afb94b4834f91ecdedeb27d9ebfd882a7d8f33b5f12ac38d

MD5: d5436df39096935f655022a5ea85066e

SHA-256: ea028ec3efaab9a3ce49379fef714bef0b120661dcbb55fcfab5c4f720598477

MD5: 123511227718f17b3dec5431d5ae87f3

SHA-256: e3f236e4aeb73f8f8f0caebe46f53abbb2f71fa4b266a34ab50e01933709e877

MD5: 53ec94e3325c7ea427857b0a1e911c66

SHA-256: dd8fe3966ab4d2d6215c63b3ac7abf4673d9c19f2d9f35a6bf247922c642ec2d

MD5: 66b9ccb41b135f302b3143a5d53f4842

SHA-256: d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78

MD5: 94d7e268d4a1bc11f50b7e493a76d7a0

SHA-256: ce8559871b410e23057393eb2d9fb76ec902da2ff1f8006ad312c81852a41f6f

MD5: 83b0fca1bd3190c5badcea4d507b8c95

SHA-256: c8205792fbc0a5efc6b8f0f2257514990bfaa987768c4839d413dd10721e8871

MD5: 0d3058695e559b95910911c4b391d482

SHA-256: bcdb59232137e570d4afb3c635f8df19ceb03e3f57fe558f4fc69a0be778c6ab

MD5: 7c488013e33440f7144624931a530ce0

SHA-256: b3faf5d8cbc3c75d4c3897851fdaf8d7a4bd774966b4c25e0e4617546109aed5

MD5: 8cdac162ef56e0f7e898995a0a9d52c9

SHA-256: af9de3e99a1be21dad4ef13ffdeddc20ecd043e60253a93da01adfa652ab073a

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Royal Mail cyberattack linked to LockBit ransomware operation
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​