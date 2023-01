Britten kunnen voorlopig beter even geen brieven of pakketjes naar het buitenland sturen. Computersystemen van postbedrijf Royal Mail die nodig zijn voor het sorteren van internationale zendingen, zijn uitgeschakeld door cybercriminelen.

Hoogstwaarschijnlijk gaat het om een aanval met ‘ransomware’ (gijzelsoftware), die systemen onklaar maakt door bestanden te versleutelen. Tegen betaling van losgeld maken de daders die versleuteling weer ongedaan.

De hack kwam mede aan het licht doordat printers van een kantoor in Belfast afpersingsbriefjes begonnen af te drukken, meldde een beveiligingsonderzoeker op Twitter. Royal Mail roept Britten op voorlopig geen buitenlandse zendingen aan te bieden. Die kunnen momenteel niet worden verwerkt.

Volgens de Britse krant The Telegraph en de omroep BBC zou de aanval het werk zijn van ransomwarebende LockBit, een verbond van cybercriminelen met wortels in Rusland en andere delen van de voormalige Sovjet-Unie. LockBit geldt momenteel als een van de grootste en succesvolste ransomwarebendes. Een woordvoerder van LockBit ontkent tegenover een beveiligingsblog betrokkenheid bij de aanval op Royal Mail. NRC heeft ook om een reactie gevraagd, maar kreeg die nog niet.

Cruciale infrastructuur

In december kwam LockBit nog in het nieuws toen in Toronto het grootste kinderziekenhuis van Canada slachtoffer werd. Dat ondervond daardoor onder meer problemen met de toegang tot elektronische patiëntendossiers en bij het maken van röntgenfoto’s.

Op Oudjaarsdag bood de bende excuses aan voor die aanval, die LockBit toeschreef aan een onderaannemer. Het platleggen van cruciale medische voorzieningen zou in strijd zijn met de regels die de bende zijn ‘klanten’ oplegt. LockBit biedt namelijk ‘Ransomware as a Service’ (RaaS): het verhuurt zijn software en diensten aan zelfstandige cybercriminelen, in ruil voor een percentage van de buit.

De Britse posterijen gelden vanwege hun belang voor de economie als cruciale infrastructuur. Een cyberaanval daarop door een bende met Russische connecties is vanwege de oorlog in Oekraïne erg gevoelig. Van sommige Russische cybercriminele bendes is bekend dat ze – al dan niet vrijwillig – nauwe contacten hebben met de Russische inlichtingendiensten. De interne regels van LockBit verbieden aanvallen op doelen in Rusland en andere voormalige Sovjetlanden. Het Verenigd Koninkrijk is een van de grootste wapenleveranciers aan Oekraïne.

Toch is het moeilijk om een verband tussen de hack en de oorlog aan te tonen. Door het RaaS-model heeft de bende criminele klanten over de hele wereld. En LockBit zelf haastte zich kort na de Russische invasie te verklaren dat de bende „neutraal” is in het conflict. „Voor ons is dit alleen business, we zijn apolitiek. We zijn alleen geïnteresseerd in geld”, citeerde persbureau Reuters een bericht van de hackers.

Mogelijk werd die verklaring mede ingegeven door de ervaring van een andere ransomwarebende, Conti. Die had zich even eerder pal achter de invasie van Poetin geschaard, en dat kwam de hackers duur te staan: uit wraak lekte een onbekende – mogelijk een voormalig bendelid uit Oekraïne – grote hoeveelheden interne documenten van Conti op internet, een goudmijn voor beveiligingsonderzoekers en opsporingsdiensten.