Il gruppo ransomware TridentLocker si è rivendicato la responsabilità di una violazione che ha colpito bpost, l’operatore nazionale postale e pacchi del Belgio. Il gruppo ha dichiarato di aver fatto trapelare circa 30 GB di dati e di aver pubblicato più di 5.000 file sul proprio sito. Secondo l’azienda, l’incidente ha coinvolto una piattaforma software di terze parti utilizzata da un reparto interno che non gestisce l’elaborazione delle lettere né la consegna dei pacchi. BPOST ha dichiarato che l’ambiente interessato è isolato dai sistemi logistici fondamentali e che i servizi operativi non sono stati interrotti.
BPOST ha riferito di aver agito rapidamente per mettere in sicurezza il sistema compromesso. L’organizzazione ha introdotto ulteriori controlli di sicurezza e ha coinvolto specialisti esterni in cybersecurity per supportare l’indagine. Ha dichiarato di collaborare con le autorità competenti e di avvisare le persone le cui informazioni potrebbero essere state esposte. A questo punto, non è chiaro se i file trapepati includano dati personali sensibili, documentazione aziendale o documenti amministrativi interni. L’azienda ha dichiarato che la sua revisione del materiale trapelato è in corso
TridentLocker è un gruppo ransomware relativamente nuovo che ha rivendicato diversi attacchi in diversi settori. Il gruppo pubblica tipicamente i dati quando le vittime non soddisfano le richieste di riscatto. Gli analisti hanno affermato che la pubblicazione dei file suggerisce che bpost potrebbe non aver soddisfatto alcuna richiesta del gruppo, anche se l’azienda non ha commentato la natura di alcuna comunicazione con gli attaccanti.
Gli analisti della sicurezza hanno avvertito che i dati collegati agli operatori postali e logistici nazionali possono essere preziosi per i gruppi criminali. Informazioni di contatto, referenze interne o registri relativi al servizio potrebbero essere utilizzati per tentativi di phishing o di impersonificazione. Hanno consigliato ai clienti che hanno interagito recentemente con bpost di rimanere vigili ai messaggi non richiesti che richiedono informazioni personali o finanziarie. Gli analisti hanno detto che gli attaccanti spesso utilizzano dati parziali per costruire comunicazioni convincenti.
Le autorità stanno ora esaminando come sia avvenuta la violazione. Gli investigatori stanno esaminando i log della piattaforma di terze parti per determinare il punto iniziale di accesso e se sia stata sfruttata qualche vulnerabilità. Hanno affermato che l’incidente evidenzia i rischi associati ai sistemi software esterni collegati a grandi organizzazioni di servizi pubblici. Le forze dell’ordine continuano a valutare se siano necessarie ulteriori misure per prevenire violazioni simili.
BPOST ha dichiarato che le operazioni di consegna rimangono ininterrotte. L’organizzazione ha dichiarato che fornirà aggiornamenti man mano che l’indagine procede e man mano che la valutazione dei dati trapelati sarà più completa.