La pandilla de ransomware LockBit lanzó un descifrador gratuito para el Hospital for Sick Children (SickKids), diciendo que uno de sus miembros violó las reglas al atacar a la organización de atención médica.
SickKids es un hospital de enseñanza e investigación en Toronto que se enfoca en brindar atención médica a niños enfermos.
El 18 de diciembre el hospital sufrió un ataque de ransomware que afectó los sistemas internos, corporativos, las líneas telefónicas del hospital y el sitio web.
Si bien el ataque solo cifró algunos sistemas SickKids afirmó que el incidente provocó demoras en la recepción de resultados de laboratorio e imágenes y resultó en tiempos de espera más prolongados para los pacientes.
El 29 de diciembre SickKids anunció que había restaurado el 50 % de sus sistemas prioritarios incluidos los que causaban retrasos en el diagnóstico o el tratamiento.
La pandilla LockBit se disculpa por el ataque
Como señaló por primera vez el investigador de inteligencia de amenazas Dominic Alvieri, dos días después del último anuncio de SickKids la pandilla de ransomware LockBit se disculpó por el ataque al hospital y lanzó un descifrador de forma gratuita.
“Nos disculpamos formalmente por el ataque a sikkids.ca y devolvemos el descifrador de forma gratuita. El socio que atacó este hospital violó nuestras reglas, está bloqueado y ya no está en nuestro programa de afiliados”, declaró la banda de ransomware.
Se ha confirmado que este archivo está disponible de forma gratuita y afirma ser un descifrador de Linux/VMware ESXi. Como no hay un descifrador de Windows adicional indica que el atacante solo podría cifrar máquinas virtuales en la red del hospital.
La operación LockBit se ejecuta como un Ransomware-as-a-Service donde los operadores mantienen los encriptadores, los sitios web, y los afiliados o miembros de la operación violan las redes de las víctimas roban datos y encriptan dispositivos.
Como parte de este acuerdo, los operadores de LockBit se quedan con aproximadamente el 20 % de todos los pagos de rescate y el resto va al afiliado.
Si bien la operación de ransomware permite a sus afiliados encriptar compañías farmacéuticas, dentistas y cirujanos plásticos les prohíbe encriptar “instituciones médicas” donde los ataques podrían causar la muerte.
“Está prohibido encriptar instituciones donde el daño a los archivos pueda causar la muerte tales como centros de cardiología, departamentos de neurocirugía, maternidades y similares es decir aquellas instituciones donde se puedan realizar procedimientos quirúrgicos en equipos de alta tecnología usando computadoras, ” explica las políticas de operación del ransomware.
El robo de datos de cualquier institución médica está permitido según las políticas.
Según la banda de ransomware como uno de sus afiliados cifró los dispositivos del hospital se retiraron de la operación y se ofreció un descifrador de forma gratuita.
Sin embargo esto no explica por qué LockBit no proporcionó un descifrador antes ya que la atención al paciente se vio afectada y SickKids trabajó para restaurar las operaciones desde el 18.
Además LockBit tiene un historial de cifrar hospitales y no proporcionar cifrados| como se vio en su ataque contra el Centre Hospitalier Sud Francilien (CHSF) en Francia, donde se exigió un rescate de 10 millones de dólares y finalmente se filtraron los datos de los pacientes .
El ataque al hospital francés provocó la derivación de pacientes a otros centros médicos y el aplazamiento de cirugías, lo que podría haber supuesto un riesgo significativo para los pacientes.
BleepingComputer se había puesto en contacto con LockBit en ese momento para comprender por qué exigían un rescate de CHSF, a pesar de que iba en contra de las políticas, pero nunca recibió una respuesta.
Esta no es la primera vez que una pandilla de ransomware proporciona un descifrador gratuito a una organización de atención médica.
En mayo de 2021 la operación Conti Ransomware proporcionó un descifrador gratuito al servicio nacional de salud de Irlanda el HSE después de enfrentar una mayor presión por parte de las fuerzas del orden internacionales.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.