Após o ataque ao Hospital para Crianças Doentes SickKids em dezembro, o grupo de ransomware LockBit liberou gratuitamente a chave para descriptografar os dados, já que proíbe ofensivas contra “instituições nas quais danos e arquivos possam levar à morte”, além de ter expulsado membro responsável por violação.

Grupo de ransomware se desculpa por ataque a hospital e fornece chave para descriptografar dados

Imagem: William B. Grice, CC BY-SA 4.0 <https://creativecommons.org/licenses/by-sa/4.0>, via Wikimedia Commons

Localizado em Toronto, no Canadá, o SickKids é um hospital de ensino e pesquisa concentrado em prestar assistência médica a crianças doentes.

Embora o ataque do LockBit tenha codificado apenas alguns sistemas, eles afetaram sistemas interno e corporativo, site e linhas telefônicas da instituição, causando atrasos no recebimento dos resultados do laboratório e das imagens, e consequentemente em tempos de espera mais longos aos pacientes.

Em 29 de dezembro, o hospital anunciou que havia restaurado 50% de seus sistemas prioritários, incluindo os que causavam atrasos no diagnóstico ou tratamento.

Política do grupo de ransomware proíbe ofensivas contra instituições em que danos poderiam levar à morte

As desculpas do LockBit e a chave para descriptografar os dados vieram dois dias após o último anúncio do hospital, de acordo com o pesquisador de inteligência de ameaças Dominic Alvieri.

“Pedimos desculpas formalmente pelo ataque ao sikkids.ca e retribuímos com o decriptor de graça, o parceiro que atacou este hospital violou nossas regras, está bloqueado e não está mais em nosso programa de afiliados”, declarou o grupo no blog.

Grupo de ransomware se desculpa por ataque a hospital e fornece chave para descriptografar dados

Imagem: reprodução/BleepingComputer

Um decriptor Linux/VMware ESXi foi disponibilizado gratuitamente, de acordo com o site BleepingComputer. Por não haver uma ferramenta adicional para Windows, isso indica que o atacante só pôde criptografar máquinas virtuais na rede do hospital.

Assim como as operações de REvil, Ryuk e outros grupos que funcionam como ransomware-as-a-service (RaaS), o LockBit mantêm os sites criptografados, enquanto os afiliados da operação invadem as redes do alvo, roubam dados e criptografam dispositivos.

Os operadores do LockBit ficam com aproximadamente 20% de todos os pagamentos de resgate, enquanto o restante fica para a afiliada. Também é parte do acordo seguir as políticas do grupo, que proíbe afiliadas criptografarem “instituições médicas” nas quais os ataques poderiam levar à morte.

“É proibido criptografar instituições no qual os danos aos arquivos poderiam levar à morte, tais como centros de cardiologia, departamentos neurocirúrgicos, maternidades e similares, ou seja, aquelas instituições onde procedimentos cirúrgicos em equipamentos de alta tecnologia usando computadores podem ser realizados”, explica a política do LockBit.

Outras instituições como empresas farmacêuticas, dentistas e cirurgiões plásticos são permitidos.

Apesar dos operadores de RaaS terem fornecido a chave para descriptografar os arquivos do SickKids, é questionável por que o LockBit não a forneceu mais cedo para que o hospital restaurasse as atividades.

Além disso, o grupo tem um histórico de alvejar hospitais e centros médicos e não fornecer decriptors, como foi o caso do Center Hospitalier Sud Francilien (CHSF) na França, cujo ataque exigiu o pagamento de US$ 10 milhões e dados de pacientes acabaram vazados.

Assim como a recente atitude do LockBit, outras operadores de ransomware também já forneceram decriptors gratuitamente à organização de saúde. Em maio de 2021, a operação Conti forneceu um decriptor gratuitamente ao serviço nacional de saúde da Irlanda (HSE), depois de enfrentar a crescente pressão da aplicação da lei internacional.

 

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários