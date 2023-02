Am 13. Januar wurde ein Cyber­angriff auf Royal Mail bekannt. Lockbit, die weltweit umtriebigste Ransomware-Bande, legte den internationalen Versand bei der britischen Post lahm. Nach 2 Wochen konnte die Post dann wieder Pakete verschicken, der Briefversand konnte schon früher wieder aufgenommen werden. Doch bis heute konnte Royal Mail International nicht alle Probleme beheben. Aktuell sei man noch nicht in der Lage, neue Pakete und Grossbriefe zu verarbeiten, die eine Zollerklärung erfordern, die über Postfilialen gekauft wurde, heisst es in einem Update zum Vorfall.

Lockbit drohte mit einem Ultimatum: Bis zum 9. Februar veröffentliche man auch entwendete Datenpakete, falls kein Lösegeld bezahlt werde. Auf der Website der Bande im Darknet heisst es, alle Dateien seien publiziert worden – allerdings sind auf der Leak-Site bis jetzt keine aufgetaucht.

Stattdessen haben die Cyberkriminellen das Chatprotokoll mit den Verhandlungen online gestellt, die am 12. Januar begonnen hatten. Gegenüber Medien bestritt Royal Mail die Echtheit des Protokolls nicht, gab aber keine weiteren Auskünfte, da es sich um ein laufendes Verfahren handle.

Beginn des Chats zwischen Lockbit und Royal Mail. Screenshot: Darkweb

Am 25. Januar schrieb Lockbit im Chat, man verlange 0.5% der Einnahmen von Royal Mail als Lösegeld, in der Summe 80 Millionen Dollar. "Unter keinen Umständen werden wir Ihnen den absurden Geldbetrag zahlen, den Sie gefordert haben", antwortete der Verhandlungsführer der Post.

"Alles, was wir hatten, waren Verluste"

Lockbit verlangte, der Unterhändler solle die Einnahmen des Unternehmens schätzen. Darauf dieser: "Alles, was wir hatten, waren Verluste. Es gibt mehrere Artikel auf Google über unsere finanzielle Situation und wie schlecht diese derzeit ist." Am 1. Februar senkte der Lockbit-Vertreter die geforderte Summe auf 70 Millionen Dollar.

Am 6. Februar setzte er ein letztes Ultimatum von 50 Stunden für die Bezahlung. Von Seiten Royal Mail hiess es daraufhin: "Ich möchte Sie nur wissen lassen, dass ich immer noch auf eine Rückmeldung von meiner Geschäftsleitung warte. (...) Um ehrlich zu sein, habe ich gehört, dass sie vielleicht nicht bezahlen wollen. Aus unserer Sicht sind die Dateien durchgesickert, als Sie sie aus unserem System entnommen haben, und eine Zahlung an Sie würde das in keiner Weise ungeschehen machen."

Am 7. Februar meldete sich Lockbit wieder: "Ich möchte Sie informieren, dass die Daten zur Veröffentlichung bereit sind und der Entschlüssler vor der Löschung steht. Sie hatten reichlich Zeit, Ihre Entscheidung zu treffen, Ihre Zeit ist abgelaufen." Royal Mail schwieg. Am 9. Februar erfolgte der letzte Eintrag der Cyberkriminellen: "Haben Sie ein Angebot für mich?" Royal Mail schwieg weiterhin.