Skip to content
RançongicielContenu

Rançongiciel LockBit contre Royal Mail

Des affiliés de LockBit ont chiffré les systèmes d'exportation internationale de Royal Mail, paralysant tous les services postaux vers l'étranger depuis le Royaume-Uni pendant six semaines. Royal Mail a publiquement refusé la demande de rançon de 65,7 M£ ; LockBit a divulgué progressivement les données exfiltrées.

Partie de la campagnelockbit ransomware franchise
Victime
Royal Mail International
Perte
$60.0M

Le 10 janvier 2023, Royal Mail International — le service de courrier et de colis à destination de l'étranger de l'opérateur postal national britannique — a découvert que le rançongiciel LockBit avait chiffré les systèmes responsables du traitement des exportations. En quelques heures, l'ensemble de la capacité postale internationale du Royaume-Uni était hors ligne. La perturbation a duré six semaines ; Royal Mail a publiquement refusé la demande de rançon de 65,7 M£, et LockBit a répliqué en divulguant les données qu'il avait exfiltrées.

L'incident est devenu l'affaire de rançongiciel la plus suivie du Royaume-Uni en 2023, contribuant à la pression opérationnelle qui a culminé avec l'opération Cronos l'année suivante.

Ce qui s'est passé

Les affiliés de LockBit ont accédé à l'infrastructure Distribution and Mailing International (DMI) de Royal Mail — le segment gérant les colis à destination de l'étranger, les services internationaux suivis et la documentation d'exportation. Le vecteur d'intrusion n'a pas été détaillé publiquement ; l'événement de chiffrement du 10 janvier a été le premier indicateur visible par Royal Mail.

Le rayon de l'explosion a été exceptionnellement bien circonscrit à un seul segment opérationnel :

  • Exportation internationale : colis, lettres, envois suivis — tous à l'arrêt.
  • Suivi et traçabilité : les clients ne pouvaient plus voir le statut du courrier en transit vers l'étranger.
  • Courrier national britannique : épargné. Le réseau interne de Royal Mail avait été segmenté de DMI, ce qui a limité la propagation.

Les communications publiques de Royal Mail ont d'abord qualifié l'événement d'« incident cyber » plutôt que de rançongiciel. Le service DMI a proposé aux clients des remboursements pour les colis suspendus et leur a demandé de cesser de soumettre du courrier vers l'étranger. La perturbation a affecté :

  • Les exportateurs britanniques de biens physiques (petites et moyennes entreprises dépendant de Royal Mail International pour l'expédition transfrontalière).
  • Les particuliers expédiant à l'international.
  • Les expatriés britanniques et résidents à l'étranger attendant du courrier en provenance du Royaume-Uni.

Refus et fuite

Vers la fin janvier, des journaux de négociation publics ont fuité sur Twitter et dans les canaux de la presse spécialisée en sécurité — apparemment dans le cadre de la propre campagne de pression de LockBit. Les journaux montraient LockBit exigeant 80 millions de dollars pour le déchiffreur et la non-publication, le négociateur de Royal Mail répondant par un refus ferme et argumenté :

« En aucun cas nous ne vous paierons la somme d'argent absurde que vous avez exigée. » — Négociateur de Royal Mail, selon les journaux de discussion divulgués de LockBit

Le 2 février 2023, Royal Mail a formellement confirmé qu'il ne paierait pas. LockBit a réagi en :

  • Publiant des échantillons de données « preuve de vie » sur son site de fuite.
  • Puis, à partir du 23 février, en publiant l'intégralité du jeu de données exfiltré — documents opérationnels, courriels internes, spécifications techniques, informations sur les employés.

Royal Mail a rétabli les services internationaux suivis le 24 février 2023 — le lendemain du début de la publication massive des données par LockBit. Le jeu de données est disponible publiquement sur des sources du dark web depuis lors.

L'esquive de LockBitSupp

Dans les jours suivant l'attaque, LockBitSupp — identifié plus tard comme Dmitry Khoroshev — s'est livré à un échange public inhabituel sur Twitter, niant que LockBit était responsable de l'attaque contre Royal Mail et l'attribuant à un « affilié dissident » qui aurait volé le code du constructeur LockBit. Ce désaveu a été largement interprété comme une réponse visant à sauver la face après que l'opération eut attaqué une cible britannique politiquement sensible — les règles d'exploitation nominales de LockBit interdisaient les attaques contre les infrastructures critiques, ce que Royal Mail représentait sans doute.

Les journaux de discussion divulgués ont ensuite confirmé que le programme d'affiliation principal de LockBit avait mené l'attaque. La dissociation revendiquée par LockBitSupp relevait, selon le consensus des analystes en sécurité, de la gestion de réputation.

Impact

  • Six semaines de perturbation postale internationale au Royaume-Uni.
  • ~10 millions de livres de pertes directes de revenus et d'impact opérationnel, selon le rapport annuel de Royal Mail.
  • ~40 à 60 millions de livres de coût total incluant remédiation, remboursements clients et atteinte à l'image de marque.
  • Pression opérationnelle sur LockBit : la montée en puissance de l'opération Cronos de la NCA britannique a véritablement débuté dans les mois suivant Royal Mail, l'attaque contre Royal Mail étant citée en interne comme un facteur motivant l'effort multi-agences dédié.

Pourquoi c'est important

Royal Mail / LockBit est le cas canonique du rançongiciel contre une infrastructure postale critique. Il a établi :

  • Que le refus public de payer par un organisme quasi public britannique est viable opérationnellement, à condition d'un soutien fort de la direction et de la possibilité d'accepter la fuite comme un coût irrécupérable.
  • Que la règle « pas d'infrastructure critique » de LockBit était inapplicable à son propre programme d'affiliation. Le désaveu a démontré que l'opération centrale ne pouvait empêcher ses affiliés d'attaquer des cibles politiquement sensibles, même lorsque cela créait un risque pour l'image de LockBit.
  • Que les données divulguées sur le dark web sont permanentes — les documents internes de Royal Mail continuent de circuler.
  • Que la segmentation fonctionne : la violation a été confinée à DMI parce que Royal Mail avait séparé le traitement international du traitement national. C'est la leçon la plus actionnable ; de nombreuses grandes entreprises ne disposent pas d'une segmentation équivalente entre leurs segments opérationnels.

Le démantèlement de l'infrastructure de LockBit par l'opération Cronos en février 2024 a été motivé en grande partie par les préoccupations britanniques quant à l'impact opérationnel continu de LockBit sur les organisations britanniques — Royal Mail étant l'exemple le plus cité.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
60.0M
USD · 60 000 000 $US
Rançon demandée
$80.0M
Rançon payée
Refusée
  • Perte d’exploitation$40.0M
  • Remédiation$20.0M

Chronologie

  1. Royal Mail découvre un chiffrement par rançongiciel sur l'infrastructure Distribution and Mailing International (DMI). Les systèmes d'exportation internationale et de suivi tombent hors ligne.

  2. Royal Mail reconnaît publiquement un « incident cyber » affectant uniquement l'exportation internationale ; le courrier national est épargné. Tous les colis et envois suivis à destination de l'étranger sont suspendus.

  3. Confusion initiale sur l'attribution ; LockBitSupp nie l'implication de LockBit sur Twitter, attribuant ensuite l'attaque à un « affilié dissident » utilisant le code source divulgué du constructeur LockBit.

  4. Les journaux de discussion de LockBit fuitent, confirmant que des affiliés de LockBit étaient responsables. Le négociateur du côté de Royal Mail est observé en train de repousser une demande de rançon de 80 M$.

  5. Royal Mail refuse formellement de payer la rançon (demande finale à ce stade : 80 M$ / 65,7 M£).

  6. LockBit commence à publier les données exfiltrées de Royal Mail sur son site de fuite.

  7. Royal Mail rétablit les services internationaux suivis après six semaines de perturbation.

  8. L'opération Cronos, menée par la NCA britannique, saisit l'infrastructure de LockBit.

  9. L'opération Cronos démasque Dmitry Khoroshev comme étant LockBitSupp. La NCA, le FBI et l'AFP déposent sanctions et acte d'accusation.

Sources

  1. royalmail.comhttps://www.royalmail.com/cyber-incident
  2. bbc.comhttps://www.bbc.com/news/business-64259003
  3. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/royal-mail-confirms-ransomware-attack-by-lockbit-after-leaked-chats/
  4. parliament.ukhttps://www.parliament.uk/business/news/2023/january/royal-mail-cyber-attack/

Incidents liés

RançongicielRésolu

Attaque par rançongiciel d'Advanced / NHS 111

Une attaque du rançongiciel LockBit 3.0 contre le fournisseur logiciel du NHS, Advanced, a paralysé le service de triage NHS 111 et contraint les soignants à revenir au papier et au crayon, exposant les données de dizaines de milliers de patients et entraînant une amende de 3,07 millions de livres de l'ICO.

Victim
Advanced (Advanced Computer Software Group)
Loss
$27.0M
Records
82.9K
RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B
RançongicielContenu

Rançongiciel LockBit chez Westpole — panne de l'administration publique italienne (2023)

LockBit 3.0 a chiffré les centres de données du fournisseur cloud italien Westpole, mettant hors service la plateforme Urbi de PA Digitale — qui dessert 1 300 administrations publiques italiennes, dont 540 communes, la présidence du Quirinale, l'ISTAT, la Banque d'Italie et le ministère de l'Environnement. Paie, services aux citoyens et flux de travail des collectivités ont été dégradés pendant des semaines.

Victim
Westpole / PA Digitale (plateforme Urbi)
RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B