Los datos filtrados se pusieron a disposición para su descarga a través de un archivo 7-Zip comprimido de 44 GB y un manifiesto del contenido del archivo también se dio a conocer en un documento separado de texto sin formato.
Entre los miles de archivos filtrados parecían figurar los registros de recursos humanos de un empleado, que incluían su primera, segunda y tercera amonestación disciplinaria, y uno en el que se detallaba su despido definitivo. Otros archivos aludían a información sobre el pago de salarios y horas extraordinarias de varios empleados, con sus nombres completos adjuntos al documento. Un archivo se refería a la disposición de la red interna, y varios archivos parecían referirse a contratos con diversas terceras partes, informan varios medios británicos.
Un número significativo de archivos procedía del disco OneDrive de un individuo que parece haber sido intervenido por los ciberdelincuentes. Contenía imágenes, sus propios registros de vacunas y otros archivos diversos.
La organización afectada ha publicado el siguiente comunicado “Royal Mail está al tanto de que un tercero no autorizado ha publicado algunos datos supuestamente obtenidos de nuestra red. El incidente cibernético afectó a un sistema relacionado con el envío de correo al extranjero. En esta fase de la investigación, creemos que la gran mayoría de estos datos está compuesta por archivos de programas técnicos y datos comerciales administrativos. Todas las pruebas sugieren que estos datos no contienen información financiera u otra de carácter sensible de los clientes. Seguimos colaborando estrechamente con las fuerzas del orden”.
Un examen del diagrama de archivos suministrado por LockBit parece confirmar las afirmaciones de Royal Mail de que la mayoría de los datos no son de naturaleza sensible. La empresa confirmó al Telegraph que alrededor de 200 datos personales de empleados estaban implicados en la filtración y que los afectados han sido informados.
Royal Mail declinó responder cuando se le preguntó si LockBit tenía algún dato adicional perteneciente a la empresa, o si seguía necesitando el desencriptador de LockBit para restaurar completamente sus sistemas. La organización dijo haber recuperado sus niveles normales de operación.
Junto con filtrar los archivos, LockBit también publicó el historial de negociaciones con Royal Mail.
En casos habituales, ésta sería toda la capacidad de extorsión que un grupo de ciberdelincuentes tendría sobre una víctima, por lo que se desconoce por qué insiste en pedir un rescate de 33 millones de libras esterlinas (39 millones de dólares). Inicialmente, los delincuentes habían exigido un rescate de 65 millones de libras esterlinas (78 millones de dólares).
LockBit se considera un tipo de ransomware especialmente peligroso porque utiliza técnicas de cifrado avanzadas que pueden dificultar la recuperación de los archivos de la víctima sin pagar el rescate. Además, se sabe que los atacantes detrás de LockBit se dirigen activamente a objetivos de alto valor, como grandes corporaciones o agencias gubernamentales, lo que lo convierte en una seria amenaza para organizaciones de todos los tamaños.
