Rançongiciel LockBit contre Royal Mail
Des affiliés de LockBit ont chiffré les systèmes d'exportation internationale de Royal Mail, paralysant tous les services postaux vers l'étranger depuis le Royaume-Uni pendant six semaines. Royal Mail a publiquement refusé la demande de rançon de 65,7 M£ ; LockBit a divulgué progressivement les données exfiltrées.
- Victime
- Royal Mail International
- Perte
- $60.0M
Le 10 janvier 2023, Royal Mail International — le service de courrier et de colis à destination de l'étranger de l'opérateur postal national britannique — a découvert que le rançongiciel LockBit avait chiffré les systèmes responsables du traitement des exportations. En quelques heures, l'ensemble de la capacité postale internationale du Royaume-Uni était hors ligne. La perturbation a duré six semaines ; Royal Mail a publiquement refusé la demande de rançon de 65,7 M£, et LockBit a répliqué en divulguant les données qu'il avait exfiltrées.
L'incident est devenu l'affaire de rançongiciel la plus suivie du Royaume-Uni en 2023, contribuant à la pression opérationnelle qui a culminé avec l'opération Cronos l'année suivante.
Ce qui s'est passé
Les affiliés de LockBit ont accédé à l'infrastructure Distribution and Mailing International (DMI) de Royal Mail — le segment gérant les colis à destination de l'étranger, les services internationaux suivis et la documentation d'exportation. Le vecteur d'intrusion n'a pas été détaillé publiquement ; l'événement de chiffrement du 10 janvier a été le premier indicateur visible par Royal Mail.
Le rayon de l'explosion a été exceptionnellement bien circonscrit à un seul segment opérationnel :
- Exportation internationale : colis, lettres, envois suivis — tous à l'arrêt.
- Suivi et traçabilité : les clients ne pouvaient plus voir le statut du courrier en transit vers l'étranger.
- Courrier national britannique : épargné. Le réseau interne de Royal Mail avait été segmenté de DMI, ce qui a limité la propagation.
Les communications publiques de Royal Mail ont d'abord qualifié l'événement d'« incident cyber » plutôt que de rançongiciel. Le service DMI a proposé aux clients des remboursements pour les colis suspendus et leur a demandé de cesser de soumettre du courrier vers l'étranger. La perturbation a affecté :
- Les exportateurs britanniques de biens physiques (petites et moyennes entreprises dépendant de Royal Mail International pour l'expédition transfrontalière).
- Les particuliers expédiant à l'international.
- Les expatriés britanniques et résidents à l'étranger attendant du courrier en provenance du Royaume-Uni.
Refus et fuite
Vers la fin janvier, des journaux de négociation publics ont fuité sur Twitter et dans les canaux de la presse spécialisée en sécurité — apparemment dans le cadre de la propre campagne de pression de LockBit. Les journaux montraient LockBit exigeant 80 millions de dollars pour le déchiffreur et la non-publication, le négociateur de Royal Mail répondant par un refus ferme et argumenté :
« En aucun cas nous ne vous paierons la somme d'argent absurde que vous avez exigée. » — Négociateur de Royal Mail, selon les journaux de discussion divulgués de LockBit
Le 2 février 2023, Royal Mail a formellement confirmé qu'il ne paierait pas. LockBit a réagi en :
- Publiant des échantillons de données « preuve de vie » sur son site de fuite.
- Puis, à partir du 23 février, en publiant l'intégralité du jeu de données exfiltré — documents opérationnels, courriels internes, spécifications techniques, informations sur les employés.
Royal Mail a rétabli les services internationaux suivis le 24 février 2023 — le lendemain du début de la publication massive des données par LockBit. Le jeu de données est disponible publiquement sur des sources du dark web depuis lors.
L'esquive de LockBitSupp
Dans les jours suivant l'attaque, LockBitSupp — identifié plus tard comme Dmitry Khoroshev — s'est livré à un échange public inhabituel sur Twitter, niant que LockBit était responsable de l'attaque contre Royal Mail et l'attribuant à un « affilié dissident » qui aurait volé le code du constructeur LockBit. Ce désaveu a été largement interprété comme une réponse visant à sauver la face après que l'opération eut attaqué une cible britannique politiquement sensible — les règles d'exploitation nominales de LockBit interdisaient les attaques contre les infrastructures critiques, ce que Royal Mail représentait sans doute.
Les journaux de discussion divulgués ont ensuite confirmé que le programme d'affiliation principal de LockBit avait mené l'attaque. La dissociation revendiquée par LockBitSupp relevait, selon le consensus des analystes en sécurité, de la gestion de réputation.
Impact
- Six semaines de perturbation postale internationale au Royaume-Uni.
- ~10 millions de livres de pertes directes de revenus et d'impact opérationnel, selon le rapport annuel de Royal Mail.
- ~40 à 60 millions de livres de coût total incluant remédiation, remboursements clients et atteinte à l'image de marque.
- Pression opérationnelle sur LockBit : la montée en puissance de l'opération Cronos de la NCA britannique a véritablement débuté dans les mois suivant Royal Mail, l'attaque contre Royal Mail étant citée en interne comme un facteur motivant l'effort multi-agences dédié.
Pourquoi c'est important
Royal Mail / LockBit est le cas canonique du rançongiciel contre une infrastructure postale critique. Il a établi :
- Que le refus public de payer par un organisme quasi public britannique est viable opérationnellement, à condition d'un soutien fort de la direction et de la possibilité d'accepter la fuite comme un coût irrécupérable.
- Que la règle « pas d'infrastructure critique » de LockBit était inapplicable à son propre programme d'affiliation. Le désaveu a démontré que l'opération centrale ne pouvait empêcher ses affiliés d'attaquer des cibles politiquement sensibles, même lorsque cela créait un risque pour l'image de LockBit.
- Que les données divulguées sur le dark web sont permanentes — les documents internes de Royal Mail continuent de circuler.
- Que la segmentation fonctionne : la violation a été confinée à DMI parce que Royal Mail avait séparé le traitement international du traitement national. C'est la leçon la plus actionnable ; de nombreuses grandes entreprises ne disposent pas d'une segmentation équivalente entre leurs segments opérationnels.
Le démantèlement de l'infrastructure de LockBit par l'opération Cronos en février 2024 a été motivé en grande partie par les préoccupations britanniques quant à l'impact opérationnel continu de LockBit sur les organisations britanniques — Royal Mail étant l'exemple le plus cité.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$40.0M
- Remédiation$20.0M
Chronologie
Royal Mail découvre un chiffrement par rançongiciel sur l'infrastructure Distribution and Mailing International (DMI). Les systèmes d'exportation internationale et de suivi tombent hors ligne.
Royal Mail reconnaît publiquement un « incident cyber » affectant uniquement l'exportation internationale ; le courrier national est épargné. Tous les colis et envois suivis à destination de l'étranger sont suspendus.
Confusion initiale sur l'attribution ; LockBitSupp nie l'implication de LockBit sur Twitter, attribuant ensuite l'attaque à un « affilié dissident » utilisant le code source divulgué du constructeur LockBit.
Les journaux de discussion de LockBit fuitent, confirmant que des affiliés de LockBit étaient responsables. Le négociateur du côté de Royal Mail est observé en train de repousser une demande de rançon de 80 M$.
Royal Mail refuse formellement de payer la rançon (demande finale à ce stade : 80 M$ / 65,7 M£).
LockBit commence à publier les données exfiltrées de Royal Mail sur son site de fuite.
Royal Mail rétablit les services internationaux suivis après six semaines de perturbation.
L'opération Cronos, menée par la NCA britannique, saisit l'infrastructure de LockBit.
L'opération Cronos démasque Dmitry Khoroshev comme étant LockBitSupp. La NCA, le FBI et l'AFP déposent sanctions et acte d'accusation.
Sources
- royalmail.comhttps://www.royalmail.com/cyber-incident
- bbc.comhttps://www.bbc.com/news/business-64259003
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/royal-mail-confirms-ransomware-attack-by-lockbit-after-leaked-chats/
- parliament.ukhttps://www.parliament.uk/business/news/2023/january/royal-mail-cyber-attack/