Grupo de ransomware se desculpa por ataque a hospital e fornece chave para descriptografar dados

Após o ataque ao Hospital para Crianças Doentes SickKids em dezembro, o grupo de ransomware LockBit liberou gratuitamente a chave para descriptografar os dados, já que proíbe ofensivas contra “instituições nas quais danos e arquivos possam levar à morte”, além de ter expulsado membro responsável por violação.

Imagem: William B. Grice, CC BY-SA 4.0 <https://creativecommons.org/licenses/by-sa/4.0>, via Wikimedia Commons

Localizado em Toronto, no Canadá, o SickKids é um hospital de ensino e pesquisa concentrado em prestar assistência médica a crianças doentes.

Embora o ataque do LockBit tenha codificado apenas alguns sistemas, eles afetaram sistemas interno e corporativo, site e linhas telefônicas da instituição, causando atrasos no recebimento dos resultados do laboratório e das imagens, e consequentemente em tempos de espera mais longos aos pacientes.

Em 29 de dezembro, o hospital anunciou que havia restaurado 50% de seus sistemas prioritários, incluindo os que causavam atrasos no diagnóstico ou tratamento.

Política do grupo de ransomware proíbe ofensivas contra instituições em que danos poderiam levar à morte

As desculpas do LockBit e a chave para descriptografar os dados vieram dois dias após o último anúncio do hospital, de acordo com o pesquisador de inteligência de ameaças Dominic Alvieri.

Breaking

LockBit offers decryptor for free.

LockBit affiliate breach violated their rules for The Hospital for Sick Children and offers the decryptor for free.

/sickkids.ca@CBC @globeandmail #cybersecurity #infosec #LockBit @BleepinComputer @TheRecord_Media pic.twitter.com/5k54IkPUIX

— Dominic Alvieri (@AlvieriD) December 31, 2022

“Pedimos desculpas formalmente pelo ataque ao sikkids.ca e retribuímos com o decriptor de graça, o parceiro que atacou este hospital violou nossas regras, está bloqueado e não está mais em nosso programa de afiliados”, declarou o grupo no blog.

Imagem: reprodução/BleepingComputer

Um decriptor Linux/VMware ESXi foi disponibilizado gratuitamente, de acordo com o site BleepingComputer. Por não haver uma ferramenta adicional para Windows, isso indica que o atacante só pôde criptografar máquinas virtuais na rede do hospital.

Assim como as operações de REvil, Ryuk e outros grupos que funcionam como ransomware-as-a-service (RaaS), o LockBit mantêm os sites criptografados, enquanto os afiliados da operação invadem as redes do alvo, roubam dados e criptografam dispositivos.

Os operadores do LockBit ficam com aproximadamente 20% de todos os pagamentos de resgate, enquanto o restante fica para a afiliada. Também é parte do acordo seguir as políticas do grupo, que proíbe afiliadas criptografarem “instituições médicas” nas quais os ataques poderiam levar à morte.

“É proibido criptografar instituições no qual os danos aos arquivos poderiam levar à morte, tais como centros de cardiologia, departamentos neurocirúrgicos, maternidades e similares, ou seja, aquelas instituições onde procedimentos cirúrgicos em equipamentos de alta tecnologia usando computadores podem ser realizados”, explica a política do LockBit.

Outras instituições como empresas farmacêuticas, dentistas e cirurgiões plásticos são permitidos.

Apesar dos operadores de RaaS terem fornecido a chave para descriptografar os arquivos do SickKids, é questionável por que o LockBit não a forneceu mais cedo para que o hospital restaurasse as atividades.

Além disso, o grupo tem um histórico de alvejar hospitais e centros médicos e não fornecer decriptors, como foi o caso do Center Hospitalier Sud Francilien (CHSF) na França, cujo ataque exigiu o pagamento de US$ 10 milhões e dados de pacientes acabaram vazados.

Assim como a recente atitude do LockBit, outras operadores de ransomware também já forneceram decriptors gratuitamente à organização de saúde. Em maio de 2021, a operação Conti forneceu um decriptor gratuitamente ao serviço nacional de saúde da Irlanda (HSE), depois de enfrentar a crescente pressão da aplicação da lei internacional.