# Royal Mail UK - LockBit Ataca Correios Britanicos (Janeiro 2023) > [!danger] Servico Postal Britanico Paralisado por 6 Semanas > Em 10 de janeiro de 2023, a **Royal Mail** - o servico postal nacional britanico, responsavel por 12,3 bilhoes de itens por ano - anunciou incapacidade de processar **correspondencia e encomendas internacionais** após um ataque de ransomware. O grupo [[lockbit]] (variante LockBit 3.0 / LockBit Black) reivindicou o ataque e exigiu **US$ 80 milhões** de resgaté - 0,5% da receita anual da empresa. A Royal Mail recusou pagar, chamando a demanda de "absurda". A negociacao completa foi **públicada pelo LockBit** em seu site de vazamento, revelando o processo de negociacao de ransomware em tempo real para o mundo. --- ## Attack Flow ```mermaid graph TB A["🔓 Acesso Inicial<br/>Vetor nao confirmado publicamente<br/>Credenciais ou phishing"] --> B["🔍 Reconhecimento Interno<br/>Mapeamento de sistemas criticos<br/>Identificação de servidores postais"] B --> C["⬆️ Escalada de Privilegios<br/>Movimento lateral na rede<br/>Acesso a sistemas de impressao postal"] C --> D["💾 Exfiltração de Dados<br/>Dados de funcionarios e operacionais<br/>Pre-criptografia - double extortion"] D --> E["🔐 LockBit 3.0 Deploy<br/>Criptografia de sistemas<br/>Impressoras imprimem nota de resgaté"] E --> F["📜 Demanda: US$ 80M<br/>0.5% da receita anual<br/>Royal Mail recusa negociar"] F --> G["📢 LockBit Publica Negociacao<br/>Chat completo exposto<br/>Dados de funcionarios vazados"] ``` --- ## O Incidente e seu Contexto A Royal Mail e uma instituicao de 500 anos no Reino Unido - o equivalente britanico dos Correios. Responsavel pela entrega de correspondencia domestica e internacional, o ataque paralisou específicamente os sistemas de **etiquetagem e despacho internacional** (Heathrow Worldwide Distribution Centre), impedindo o envio de pacotes para fora do Reino Unido por semanas. Clientes e empresas que dependiam do servico para exportacoes tiveram prejuizos diretos. O servico domestico continuou operando. O ataque demonstrou que mesmo organizacoes de infraestrutura critica nao estavam imunes ao ransomware moderno. --- ## A Negociacao Publicamente Exposta Um aspecto incomum: o [[lockbit]] publicou o **chat completo de negociacao** entre seus operadores e a Royal Mail - 62 paginas de conversa. A publicacao foi uma tacita de pressao - exibir publicamente a recusa da empresa de pagar para pressionar stakeholders e autoridades britânicas. O chat revelou varios elementos interessantes sobre o processo de extorsao: - **LockBit**: "O que vale mais - US$ 80M ou a reputacao da empresa?" - **Royal Mail**: "A demanda e absurda. Estamos dispostos a pagar X" (valor baixo) - O grupo LockBit reduziu a demanda para US$ 33M em uma rodada - ainda recusado - Conversas sobre o que exatamente havia sido exfiltrado - Deadlines e ameaças de publicar dados progressivamente A publicacao do chat tornou-se material de estudo sobre **como grupos de ransomware negociam** e como organizacoes deveriam (ou nao) conduzir negociacoes. --- ## LockBit 3.0 - Estado da Arte em RaaS O ataque usou a variante **LockBit 3.0** (também chamada LockBit Black), lancada em junho de 2022. Esta versao incorporou código do **BlackMatter** (ex-DarkSide) - evidênciando como grupos de ransomware compartilham e reutilizam código. LockBit 3.0 introduziu o primeiro **programa de bug bounty** de um grupo de ransomware: oferecia recompensas em cripto para quem reportasse vulnerabilidades no malware ou no site de vazamento. Uma iniciativa bizarra mas eficaz para melhorar a qualidade técnica do produto criminoso. Em fevereiro de 2024, operação policial internacional derrubou a infraestrutura do LockBit - mas o grupo ressurgiu semanas depois com nova infraestrutura. --- ## Impacto no Comercio Internacional Britanico O impacto economico foi significativo: - **6 semanas** sem capacidade de envio internacional - Empresas britanicas de e-commerce perderam acesso ao mercado exportador - Importadores no mundo todo afetados - envios do Reino Unido interrompidos - Custos estimados de disrupcao: dezenas de milhoes de libras (nao divulgados) A Royal Mail nao divulgou o custo final da recuperacao. O **NCSC** (National Cyber Security Centre) do Reino Unido auxiliou na resposta, e a Policia Metropolitana investigou o incidente. --- ## Relevância para o Brasil e Correios O ataque a Royal Mail tornou-se referência obrigatoria nos planos de segurança dos Correios do Brasil. A Empresa Brasileira de Correios e Telegrafos (ECT) realizou revisao de segurança citando explicitamente o caso britanico. O [[cert-br]] públicou análise técnica do LockBit 3.0 com indicadores de comprometimento. O modelo de dupla extorsao e públicacao de negociacoes tornou-se **padrao de ameaça para infraestrutura critica brasileira** - qualquer empresa ou governo pode ter sua negociacao exposta públicamente. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | 10 Ján 2023 | Royal Mail confirma ataque - envio internacional suspenso | | 11 Ján 2023 | Impressoras comecam a imprimir nota de resgaté LockBit | | 12 Ján 2023 | LockBit reivindica o ataque | | 17 Ján 2023 | LockBit publica chat de negociacao - US$ 80M exigidos | | Mar 2023 | Operacoes internacionais gradualmente restauradas | | Fev 2024 | Operação Cronos - infraestrutura LockBit derrubada | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[lockbit]] - LockBit 3.0 / LockBit Black | | Técnica MITRE | [[t1486-data-encrypted-for-impact]] | | Técnica MITRE | [[t1657-financial-theft]] - extorsao | | Setor | [[critical-infrastructure]] - servico postal nacional | | Relacao | [[s0570-blackmatter-ransomware]] - código compartilhado | | Evento anterior | [[2022-02-conti-leaks]] | | Evento relacionado | [[2023-10-citrix-bleed]] - LockBit em outras vitimas | | Evento relacionado | [[2024-02-change-healthcare]] - extorsao healthcare | --- > [!info] Navegacao - Eventos Relacionados > [[2022-02-conti-leaks]] | [[2023-10-citrix-bleed]] | [[lockbit]] | [[_timeline]]