Il SickKids è un ospedale di insegnamento e ricerca di Toronto che si occupa di fornire assistenza sanitaria ai bambini malati. Il 18 dicembre l’ospedale ha subito un attacco ransomware che ha colpito i sistemi interni e aziendali, le linee telefoniche dell’ospedale e il sito web. Sebbene l’attacco abbia criptato solo alcuni sistemi, il SickKids ha dichiarato che l’incidente ha causato ritardi nella ricezione dei risultati di laboratorio e di imaging e ha allungato i tempi di attesa dei pazienti. Il 29 dicembre, il SickKids ha annunciato di aver ripristinato il 50% dei sistemi prioritari, compresi quelli che causavano ritardi nella diagnosi o nel trattamento.
La banda di LockBit si scusa per l’attacco
Come notato per la prima volta dal ricercatore di informazioni sulle minacce Dominic Alvieri, due giorni dopo l’ultimo annuncio del SickKids, la banda del ransomware LockBit si è scusata per l’attacco all’ospedale e ha rilasciato gratuitamente un decriptatore. “Ci scusiamo formalmente per l’attacco a sikkids.ca e restituiamo gratuitamente il decriptatore, il partner che ha attaccato questo ospedale ha violato le nostre regole, è bloccato e non fa più parte del nostro programma di affiliazione”, ha dichiarato la banda del ransomware.
Scuse al SickKids per la fuga di dati LockBit
L’operazione LockBit funziona come un servizio Ransomware-as-a-Service, in cui gli operatori mantengono i criptatori e i siti web, mentre gli affiliati o i membri dell’operazione violano le reti delle vittime, rubano i dati e criptano i dispositivi. Come parte di questo accordo, gli operatori di LockBit trattengono circa il 20% di tutti i pagamenti dei riscatti e il resto va all’affiliato. Sebbene l’operazione di ransomware consenta ai suoi affiliati di criptare aziende farmaceutiche, dentisti e chirurghi plastici, proibisce ai suoi affiliati di criptare “istituzioni mediche” in cui gli attacchi potrebbero causare la morte. “È vietato criptare istituzioni in cui il danneggiamento dei file potrebbe portare alla morte, come centri di cardiologia, reparti di neurochirurgia, ospedali per la maternità e simili, ovvero quelle istituzioni in cui possono essere eseguite procedure chirurgiche su apparecchiature ad alta tecnologia utilizzando i computer”, spiega la politica dell’operazione ransomware. Il furto di dati da qualsiasi istituzione medica è consentito dalle politiche.
Secondo la banda del ransomware, poiché uno dei suoi affiliati ha criptato i dispositivi dell’ospedale, questi sono stati rimossi dall’operazione e un decriptatore è stato offerto gratuitamente. Tuttavia, questo non spiega perché LockBit non abbia fornito un decriptatore prima, visto che l’assistenza ai pazienti è stata compromessa e il SickKids sta lavorando per ripristinare le operazioni dal 18. Inoltre, LockBit ha una storia di decriptazione e di crittografia. Inoltre, LockBit ha una storia di criptazione di ospedali e di mancata fornitura di decrittatori, come si è visto nell’attacco al Center Hospitalier Sud Francilien (CHSF) in Francia, dove è stato chiesto un riscatto di 10 milioni di dollari e alla fine sono trapelati i dati dei pazienti. L’attacco all’ospedale francese ha portato a indirizzare i pazienti verso altri centri medici e a rimandare gli interventi chirurgici, il che avrebbe potuto comportare rischi significativi per i pazienti. Non è la prima volta che una banda di ransomware fornisce un decriptatore gratuito a un’organizzazione sanitaria. Nel maggio 2021, l’operazione Conti Ransomware ha fornito un decriptatore gratuito al servizio sanitario nazionale irlandese, l’HSE, dopo aver affrontato le crescenti pressioni delle forze dell’ordine internazionali.
