La Poste mobile, operadora de telefonía perteneciente al grupo La Poste y con aproximadamente 1,8 millones de suscriptores, fue víctima de un ataque informático, anunció la compañía el viernes 8 de julio en un comunicado de prensa. «Los servicios administrativos y de gestión de La Poste Mobile fueron víctimas, el lunes 4 de julio, de un virus malicioso de tipo ransomware»dijo la compañía.
Los ransomware son virus diseñados para paralizar el sistema informático de una organización. Los atacantes generalmente comienzan por infiltrarse en una red, tomando el control de una cierta cantidad de dispositivos, luego infectan el equipo informático de la entidad (empresa, comunidad, hospital, asociación, etc.) para inutilizarlo. Luego exigen un rescate de su víctima a cambio de la clave de descifrado para restaurar los archivos de los dispositivos afectados.
Datos potencialmente robados
El sitio móvil de La Poste y su área de clientes están actualmente inaccesibles, un mensaje ahora explica que el operador ha sido víctima de un ataque. “Los equipos de TI de La Poste Mobile están actualmente diagnosticando la situación. Los primeros análisis establecen que los servidores esenciales para el funcionamiento de las líneas móviles de los clientes han sido bien protegidos”promete el grupo.
La intrusión fue reivindicada durante la noche del jueves al viernes por Lockbit, una banda muy activa en ransomware y que recluta cómplices especializados en intrusión informática.
El es “es posible que los archivos presentes en los ordenadores de los empleados de La Poste mobile se hayan visto afectados”explica La Poste en su nota de prensa, y añade que «algunos de ellos pueden contener datos personales», sin especificar más cuáles. En su sitio, Lockbit, por su parte, afirmó haber robado una serie de archivos de la empresa y ya ha publicado tres capturas de pantalla de lo que parece ser una lista de clientes, que contiene nombres, nombres, ciudades, números de teléfono y direcciones de correo electrónico.
Como muchas bandas involucradas en la extorsión y el robo de datos, Lockbit tiene un sitio donde publica continuamente los nombres de sus víctimas, así como los documentos robados durante sus ataques. Normalmente, se muestra una cuenta regresiva que advierte a los lectores y víctimas que todos los archivos secuestrados se liberarán después de un cierto período de tiempo. Este método de uso común se utiliza para presionar a las empresas atacadas para que paguen el rescate exigido.
Hasta el momento existen pocas pistas sobre el paradero de los operadores y afiliados de Lockbit. Como muchos de estos programas, el ransomware Lockbit está diseñado para no infectar computadoras ubicadas en Rusia o países de habla rusa. Además, el núcleo del grupo ha estado activo en un foro de debate en ruso muy conocido en el ámbito cibercriminal. Dos elementos que pueden sugerir que los miembros del grupo hablan al menos ruso, o incluso operan desde Rusia o un país cercano.