Russische hackersbende gijzelt Britse Royal Mail

Cyberaanval Een aanval door – waarschijnlijk – een cyberbende met Russische wortels legt het Britse internationale postverkeer stil.

De Britse posterijen zijn getroffen door een cyberaanval. Voorlopig kunnen zij geen brieven of pakketten naar het buitenland sturen.
De Britse posterijen zijn getroffen door een cyberaanval. Voorlopig kunnen zij geen brieven of pakketten naar het buitenland sturen.

Foto Andy Rain/EPA

Britten kunnen voorlopig beter even geen brieven of pakketjes naar het buitenland sturen. Computersystemen van postbedrijf Royal Mail die nodig zijn voor het sorteren van internationale zendingen, zijn uitgeschakeld door cybercriminelen.

Hoogstwaarschijnlijk gaat het om een aanval met ‘ransomware’ (gijzelsoftware), die systemen onklaar maakt door bestanden te versleutelen. Tegen betaling van losgeld maken de daders die versleuteling weer ongedaan.

De hack kwam mede aan het licht doordat printers van een kantoor in Belfast afpersingsbriefjes begonnen af te drukken, meldde een beveiligingsonderzoeker op Twitter. Royal Mail roept Britten op voorlopig geen buitenlandse zendingen aan te bieden. Die kunnen momenteel niet worden verwerkt.

Volgens de Britse krant The Telegraph en de omroep BBC zou de aanval het werk zijn van ransomwarebende LockBit, een verbond van cybercriminelen met wortels in Rusland en andere delen van de voormalige Sovjet-Unie. LockBit geldt momenteel als een van de grootste en succesvolste ransomwarebendes. Een woordvoerder van LockBit ontkent tegenover een beveiligingsblog betrokkenheid bij de aanval op Royal Mail. NRC heeft ook om een reactie gevraagd, maar kreeg die nog niet.


Lees ook Gijzelsoftware ontwricht steeds vaker het maatschappelijk leven

Cruciale infrastructuur

In december kwam LockBit nog in het nieuws toen in Toronto het grootste kinderziekenhuis van Canada slachtoffer werd. Dat ondervond daardoor onder meer problemen met de toegang tot elektronische patiëntendossiers en bij het maken van röntgenfoto’s.

Op Oudjaarsdag bood de bende excuses aan voor die aanval, die LockBit toeschreef aan een onderaannemer. Het platleggen van cruciale medische voorzieningen zou in strijd zijn met de regels die de bende zijn ‘klanten’ oplegt. LockBit biedt namelijk ‘Ransomware as a Service’ (RaaS): het verhuurt zijn software en diensten aan zelfstandige cybercriminelen, in ruil voor een percentage van de buit.

De Britse posterijen gelden vanwege hun belang voor de economie als cruciale infrastructuur. Een cyberaanval daarop door een bende met Russische connecties is vanwege de oorlog in Oekraïne erg gevoelig. Van sommige Russische cybercriminele bendes is bekend dat ze – al dan niet vrijwillig – nauwe contacten hebben met de Russische inlichtingendiensten. De interne regels van LockBit verbieden aanvallen op doelen in Rusland en andere voormalige Sovjetlanden. Het Verenigd Koninkrijk is een van de grootste wapenleveranciers aan Oekraïne.

Toch is het moeilijk om een verband tussen de hack en de oorlog aan te tonen. Door het RaaS-model heeft de bende criminele klanten over de hele wereld. En LockBit zelf haastte zich kort na de Russische invasie te verklaren dat de bende „neutraal” is in het conflict. „Voor ons is dit alleen business, we zijn apolitiek. We zijn alleen geïnteresseerd in geld”, citeerde persbureau Reuters een bericht van de hackers.


Lees ook Cybercrimelen kiezen openlijk partij voor Poetin – en betalen

Mogelijk werd die verklaring mede ingegeven door de ervaring van een andere ransomwarebende, Conti. Die had zich even eerder pal achter de invasie van Poetin geschaard, en dat kwam de hackers duur te staan: uit wraak lekte een onbekende – mogelijk een voormalig bendelid uit Oekraïne – grote hoeveelheden interne documenten van Conti op internet, een goudmijn voor beveiligingsonderzoekers en opsporingsdiensten.