Colt Technology Services ha confirmado que los ciberdelincuentes podrían filtrar los datos de los clientes. Esto a pesar de reclamar anteriormente, el reciente incidente cibernético se dirigió a un sistema interno separado de la infraestructura de sus clientes. El 14 de agosto, el gigante de las telecomunicaciones británicas dijo que había dejado algunos sistemas fuera de línea en respuesta a un «incidente cibernético» que se dirigió a un «sistema interno» que estaba desconectado de su infraestructura orientada al cliente. Esta acción ha resultado en la interrupción de algunos de los servicios de soporte, incluidos los servicios de alojamiento y portamiento, así como las plataformas de API en línea de Colt en línea y de voz. Los datos del cliente probablemente comprometidos en una actualización publicada el 21 de agosto, Colt admitió que el grupo criminal detrás del hack «ha accedido a ciertos archivos de nuestros sistemas que pueden contener información relacionada con nuestros clientes y publicar los títulos de documentos en la web oscura». «Nuestra prioridad inmediata es determinar la naturaleza precisa de los archivos y qué información contienen», agregó la compañía. En un movimiento inusual, Colt también ofreció a sus clientes la opción de solicitar una lista de nombres de archivo publicados en la web oscura llamando al centro de llamadas dedicado de la compañía. Colt también notificó a sus usuarios que los servicios de soporte que se quedaron fuera de línea aún no estaban disponibles a partir del 21 de agosto. «Es demasiado pronto para dar una línea de tiempo exacta en este momento, pero proporcionaremos actualizaciones periódicas para mantenerlo informado», dijo la compañía. Warlock tiene la intención de subastar los datos comprometidos en lugar de exponer públicamente los datos robados, o al menos una muestra, como lo hacen la mayoría de las pandillas de ransomware en un enfoque llamado ‘Doble extorsión’, Warlock, el grupo que reclamó el ataque está intentando vender la información comprometida de Colt en una subasta privada establecida en el 27 de agosto. Recientemente, Warlock también reclamó la responsabilidad de otro ciber-atato contra Orange Belgium. Según varios expertos, incluido el investigador independiente Kevin Beaumont y los investigadores de Micro de Trend, los operadores de ransomware de brujo se han dirigido ampliamente a la cadena de explotación de vulnerabilidad de Microsoft SharePoint ‘Toolshell’ para golpear a las víctimas a nivel mundial.