Cyberattaque

Un gang de ransomware s’excuse et offre un décrypteur gratuit à l’hôpital SickKids

Par Philippe Ternision , le 3 janvier 2023 , mis à jour le 3 janvier 2023 - 4 minutes de lecture
5/5 - (1 vote)

L’Hospital for Sick Children (SickKids) a reçu un décrypteur gratuit grâce au gang de ransomware LockBit, qui affirme qu’un de ses membres a attaqué l’hôpital en violation du règlement du groupe.

SickKids est un hôpital d’enseignement et de recherche situé à Toronto et spécialisé dans le traitement des enfants malades.

Une attaque par ransomware visant les réseaux internes et d’entreprise de l’hôpital, les lignes téléphoniques de l’hôpital et le site web a eu lieu le 18 décembre.

Bien que seul un petit nombre de systèmes ait été crypté, SickKids a déclaré que l’incident avait entraîné une augmentation du temps d’attente pour les patients et des retards dans la réception des données de laboratoire et d’imagerie.

SickKids a annoncé le 29 décembre qu’il avait rétabli 50 % de ses systèmes prioritaires, y compris ceux qui retardaient les diagnostics ou les traitements.

Le gang LockBit s’excuse pour son attaque

Deux jours après la dernière déclaration de SickKids, le groupe de ransomware LockBit s’est excusé pour l’attaque de l’hôpital et a fourni un décrypteur gratuit, comme l’a observé pour la première fois l’expert en renseignement sur les menaces Dominic Alvieri.

Le partenaire qui a attaqué cet hôpital a enfreint nos règles, il est bloqué et ne fait plus partie de notre programme d’affiliation, a déclaré le groupe ransomware dans ses excuses officielles et dans le retour du décrypteur gratuit.

Ce fichier, qui prétend être un décrypteur Linux/VMware ESXi, serait gratuit et téléchargeable, comme l’a validé BleepingComputer. L’absence d’un second décrypteur Windows suggère que l’attaquant s’est limité à chiffrer les ordinateurs virtuels connectés au réseau de l’hôpital.

Apology to SickKids on the LockBit data leak site
Excuses de SickKids sur le site de la fuite de données LockBit
Source : BleepingComputer

L’opération LockBit fonctionne comme un Ransomware-as-a-Service, dans lequel les opérateurs gèrent les outils de cryptage et les sites Web tandis que les associés de l’opération, ou membres, s’infiltrent dans les réseaux des victimes, volent des données et cryptent des équipements.

Les montants payés en rançon sont répartis entre l’affilié et les opérateurs de LockBit, qui conservent environ 20 % de chacun.

L’opération de ransomware permet à ses affiliés de crypter des cabinets dentaires, des cabinets de chirurgie plastique et des entreprises pharmaceutiques, mais leur interdit de crypter des “installations médicales” où les attaques peuvent entraîner des décès.

Les politiques de l’opération ransomware stipulent qu'”il est interdit de crypter des institutions où les dommages aux fichiers pourraient entraîner la mort, comme les centres de cardiologie, les services de neurochirurgie, les maternités et autres, c’est-à-dire les institutions où des procédures chirurgicales sur des technologies avancées utilisant des ordinateurs peuvent être effectuées.”

Ces politiques permettent le vol de données dans n’importe quelle institution médicale.

Les appareils de l’hôpital auraient été mis hors service après avoir été cryptés par l’une des filiales du groupe ransomware, et un décrypteur a été mis à disposition gratuitement.

Cela n’explique toutefois pas pourquoi, compte tenu de l’impact sur les soins aux patients et des efforts déployés par SickKids pour reprendre ses activités depuis le 18, LockBit n’a pas proposé un décrypteur plus tôt.

Comme le montre son attaque contre le Centre Hospitalier Sud Francilien (CHSF) en France, où une rançon de 10 millions de dollars a été demandée et où les données des patients ont finalement été divulguées, LockBit a l’habitude de crypter les hôpitaux et de ne pas fournir de décrypteurs.

En raison de l’attaque contre l’hôpital français, des patients ont été transférés vers d’autres hôpitaux et des opérations chirurgicales ont été retardées, ce qui les a mis en grand danger.

Bien que cela soit contraire à son règlement, LockBit avait demandé une rançon au CHSF à l’époque. BleepingComputer les avait contactés pour en connaître la raison, mais ils n’ont jamais répondu.

Ce n’est pas la première fois qu’un groupe de ransomware offre un décrypteur gratuit à un organisme de santé.

À la suite de la pression croissante exercée par les forces de l’ordre internationales, l’opération Conti Ransomware a donné un décrypteur gratuit à l’agence nationale de santé irlandaise, le HSE, en mai 2021.

 

 

  • Cat's Best 5L Offre découverte : litière Cat's Best Original 5 L - Litières pour...
    Cat's Best Original est jusqu'à 3 x plus économique qu'une litière agglomérante traditionnelle. En effet, les liquides sont retenus efficacement par capillarité dans les fibres végétales naturelles. Ainsi, la litière Cat's Best Original Plus est...
  • Klorane Ortie - Shampoing Sec Séboréducteur à l'Ortie - le Teinté - Cheveux Gras Châtains à Bruns - Offre Spéciale Duo 2 x 150 ml - Lot 2 x 150 ml
    Allié efficace contre les cheveux gras, le Shampoing sec Klorane à l'Ortie absorbe l'excès de sébum en 2 minutes, purifie et rafraîchit les cheveux sans les mouiller. Sa teinte beige s'adapte naturellement aux chevelures foncées pour un fini
  • Tediber - L'incroyable Tête de Lit en tissu -Livraison et retours gratuits - 100 nuits d'essai - Marque française
    Découvrez l’Incroyable tête de lit en tissu Tediber, la seule tête de lit qui allie design, praticité et confort, disponible dès maintenant. Désignée en France et fabriquée en Belgique, berceau de la literie haut de gamme. Livré déjà montée et prête à l'emploi, ne nécessite pas de fixation murale et s'adapte à tous les intérieurs. Design sobre et intelligent - disponible en 3 tailles - se glisse très facilement entre le sommier et le mur. La structure en bois qui constitue la tête de lit apporte maintien et fermeté, tandis que son garnissage en ouate hyppoallergénique procure un accueil moelleux particullièrement agréable.
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.