Grupo de ransomware se desculpa por ataque a hospital e fornece chave para descriptografar dados
Política do LockBit proíbe ofensivas contra "instituições nas quais danos e arquivos possam levar à morte"; membro responsável por violação teria sido expulsoBy - Liliane Nakagawa, 5 janeiro 2023 às 20:17
Após o ataque ao Hospital para Crianças Doentes SickKids em dezembro, o grupo de ransomware LockBit liberou gratuitamente a chave para descriptografar os dados, já que proíbe ofensivas contra “instituições nas quais danos e arquivos possam levar à morte”, além de ter expulsado membro responsável por violação.
Localizado em Toronto, no Canadá, o SickKids é um hospital de ensino e pesquisa concentrado em prestar assistência médica a crianças doentes.
Embora o ataque do LockBit tenha codificado apenas alguns sistemas, eles afetaram sistemas interno e corporativo, site e linhas telefônicas da instituição, causando atrasos no recebimento dos resultados do laboratório e das imagens, e consequentemente em tempos de espera mais longos aos pacientes.
Em 29 de dezembro, o hospital anunciou que havia restaurado 50% de seus sistemas prioritários, incluindo os que causavam atrasos no diagnóstico ou tratamento.
Política do grupo de ransomware proíbe ofensivas contra instituições em que danos poderiam levar à morte
As desculpas do LockBit e a chave para descriptografar os dados vieram dois dias após o último anúncio do hospital, de acordo com o pesquisador de inteligência de ameaças Dominic Alvieri.
Breaking
LockBit offers decryptor for free.
LockBit affiliate breach violated their rules for The Hospital for Sick Children and offers the decryptor for free.
/sickkids.ca@CBC @globeandmail #cybersecurity #infosec #LockBit @BleepinComputer @TheRecord_Media pic.twitter.com/5k54IkPUIX
— Dominic Alvieri (@AlvieriD) December 31, 2022
“Pedimos desculpas formalmente pelo ataque ao sikkids.ca e retribuímos com o decriptor de graça, o parceiro que atacou este hospital violou nossas regras, está bloqueado e não está mais em nosso programa de afiliados”, declarou o grupo no blog.
Um decriptor Linux/VMware ESXi foi disponibilizado gratuitamente, de acordo com o site BleepingComputer. Por não haver uma ferramenta adicional para Windows, isso indica que o atacante só pôde criptografar máquinas virtuais na rede do hospital.
Assim como as operações de REvil, Ryuk e outros grupos que funcionam como ransomware-as-a-service (RaaS), o LockBit mantêm os sites criptografados, enquanto os afiliados da operação invadem as redes do alvo, roubam dados e criptografam dispositivos.
Os operadores do LockBit ficam com aproximadamente 20% de todos os pagamentos de resgate, enquanto o restante fica para a afiliada. Também é parte do acordo seguir as políticas do grupo, que proíbe afiliadas criptografarem “instituições médicas” nas quais os ataques poderiam levar à morte.
“É proibido criptografar instituições no qual os danos aos arquivos poderiam levar à morte, tais como centros de cardiologia, departamentos neurocirúrgicos, maternidades e similares, ou seja, aquelas instituições onde procedimentos cirúrgicos em equipamentos de alta tecnologia usando computadores podem ser realizados”, explica a política do LockBit.
Outras instituições como empresas farmacêuticas, dentistas e cirurgiões plásticos são permitidos.
Apesar dos operadores de RaaS terem fornecido a chave para descriptografar os arquivos do SickKids, é questionável por que o LockBit não a forneceu mais cedo para que o hospital restaurasse as atividades.
Além disso, o grupo tem um histórico de alvejar hospitais e centros médicos e não fornecer decriptors, como foi o caso do Center Hospitalier Sud Francilien (CHSF) na França, cujo ataque exigiu o pagamento de US$ 10 milhões e dados de pacientes acabaram vazados.
Assim como a recente atitude do LockBit, outras operadores de ransomware também já forneceram decriptors gratuitamente à organização de saúde. Em maio de 2021, a operação Conti forneceu um decriptor gratuitamente ao serviço nacional de saúde da Irlanda (HSE), depois de enfrentar a crescente pressão da aplicação da lei internacional.
Comentários