Il gruppo di ransomware LockBit si è formalmente scusato per l’attacco all’ospedale per bambini malati (SickKids), affermando che uno dei suoi membri ha violato le regole attaccando l’organizzazione sanitaria e, pertanto, ha rilasciato gratuitamente un decryptor per l’ospedale.

L’attacco all’Hospital for Sick Children (SickKids), ospedale per l’insegnamento e la ricerca a Toronto che si concentra sulla fornitura di assistenza sanitaria ai bambini malati, è avvenuto 18 dicembre, colpendo i sistemi interni e aziendali, le linee telefoniche dell’ospedale e il sito web.

Sebbene l’attacco abbia crittografato solo alcuni sistemi, SickKids ha affermato che l’incidente ha causato ritardi nella ricezione dei risultati di laboratorio e di imaging e ha comportato tempi di attesa più lunghi per i pazienti.

Il 29 dicembre, SickKids ha annunciato di aver ripristinato il 50% dei suoi sistemi prioritari, compresi quelli che causano ritardi diagnostici o terapeutici.

Due giorni dopo l’ultimo annuncio di SickKids, come notato per la prima volta dal ricercatore di intelligence sulle minacce Dominic Alvieri, LockBit si è scusata per l’attacco all’ospedale e ha rilasciato gratuitamente un decryptor.

“Ci scusiamo formalmente per l’attacco a sikkids.ca e restituiamo gratuitamente il decryptor, il partner che ha attaccato questo ospedale ha violato le nostre regole, è bloccato e non è più nel nostro programma di affiliazione”, ha affermato la banda di ransomware.

BleepingComputer ha confermato che questo file è disponibile gratuitamente e afferma di essere un decryptor Linux/VMware ESXi. Poiché non esiste un decryptor Windows aggiuntivo, indica che l’attaccante può crittografare solo le macchine virtuali sulla rete dell’ospedale.

L’operazione LockBit viene eseguita come Ransomware-as-a-Service, in cui gli operatori e gli affiliati o membri dell’operazione violano le reti delle vittime, rubano dati e crittografano i dispositivi. Come parte di questo accordo, gli operatori LockBit trattengono circa il 20% di tutti i pagamenti di riscatto e il resto va all’affiliato. Sebbene l’operazione ransomware consenta ai suoi affiliati di crittografare aziende farmaceutiche, dentisti e chirurghi plastici, proibisce ai suoi affiliati di crittografare “istituzioni mediche” dove gli attacchi potrebbero portare alla morte.

“È vietato crittografare istituzioni in cui il danneggiamento dei file potrebbe portare alla morte, come centri di cardiologia, reparti neurochirurgici, ospedali per la maternità e simili, ovvero quegli istituti in cui possono essere eseguiti interventi chirurgici su apparecchiature ad alta tecnologia utilizzando computer”, spiega la politica dell’operazione ransomware.

Il furto di dati da qualsiasi istituto medico è consentito dalle politiche, tuttavia, secondo la banda di ransomware, poiché uno dei suoi affiliati ha crittografato i dispositivi dell’ospedale, sono stati rimossi dall’operazione e un decryptor è stato offerto gratuitamente.

Questa non è la prima volta che un gruppo di ransomware fornisce un decryptor gratuito a un’organizzazione sanitaria. Nel maggio 2021, l’operazione Conti Ransomware ha fornito un decryptor gratuito al servizio sanitario nazionale irlandese , l’HSE, dopo aver subito una maggiore pressione da parte delle forze dell’ordine internazionali.

https://www.bleepingcomputer.com/news/security/ransomware-gang-apologizes-gives-sickkids-hospital-free-decryptor/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE