<div dir="ltr"><a href="https://www.bleepingcomputer.com/news/security/uk-rail-network-merseyrail-likely-hit-by-lockbit-ransomware/">https://www.bleepingcomputer.com/news/security/uk-rail-network-merseyrail-likely-hit-by-lockbit-ransomware/</a><br><div><br></div><div>UK rail network Merseyrail has confirmed a cyberattack after a ransomware gang used their email system to email employees and journalists about the attack.<br><br>Merseyrail is a UK rail network that provides train service through sixty-eight stations in the Liverpool City Region in England.<br><br>"We can confirm that Merseyrail was recently subject to a cyber-attack. A full investigation has been launched and is continuing. In the meantime, we have notified the relevant authorities," Merseyrail told BleepingComputer yesterday after we received a mysterious email earlier this month from the account of Andy Heath, the Director of Merseyrail.<br><br>Ransomware gang uses Merseyrail's email system against them<br>While the cyberattack has not been publicly disclosed, BleepingComputer learned of the attack after receiving a strange email on April 18th from Heith email account with the mail subject, "Lockbit Ransomware Attack and Data Theft."<br><br>This email was sent to BleepingComputer, various UK newspapers, and the staff of Merseyrail in what appears to be a takeover of the Director's @<a href="http://merseyrail.org">merseyrail.org</a> Office 365 email account by the Lockbit Ransomware gang.<br><br>In this email, the threat actors pretended to be Merseyrail's Director telling employees that a previous weekend's outage was downplayed and that they suffered a ransomware attack where the hackers stole employee and customer data.<br><br>Included in the email is a link to an image showing an employee's personal information that Lockbit allegedly stole during the attack.<br><br>After numerous attempts to contact Merseryrail and confirm the attack, we finally received the rail network's statement last night.<br><br>"It would be inappropriate for us to comment further while the investigation is underway," Merseyrail told BleepingComputer when we questioned how the Director's email was compromised.<br><br>In response to our queries, the UK Information Commissioner's Office (ICO) also confirmed that Merseyrail made them aware of the "incident."<br><br>"Merseyrail has made us aware of an incident and we are assessing the information provided," the ICO told BleepingComputer via email.<br><br>Ransomware gangs aggressively extort victims<br>Over the past year, ransomware gangs have become increasingly aggressive in their extortion tactics.<br><br>In the past, ransomware attacks consisted of threat actors stealing victims' data and then encrypting their files to force a ransom payment.<br><br>Over time, the threat actor's tactics have escalated to performing DDoS attacks on victims' networks and websites, emailing customers and journalists, and threatening to contact stock exchanges.<br><br>Sadly, while these attacks are ongoing, the employees and customers are usually the last to know what is happening with their data and organization.<br><br>Using a victim's email system to promote their attacks to both employees, journalists, and customers could turn that on its head.<br><br></div></div>