Бандата за рансъмуер LockBit пусна безплатен декриптор за Hospital for Sick Children (SickKids), като заяви, че един от членовете ѝ е нарушил правилата, като е атакувал здравната организация.

SickKids е учебна и изследователска болница в Торонто, която се фокусира върху предоставянето на здравни грижи на болни деца.

На 18 декември болницата претърпя атака с рансъмуер, която засегна вътрешните и корпоративните системи, телефонните линии и уебсайта.

Въпреки че атаката е криптирала само няколко системи, SickKids заявява, че инцидентът е довел до забавяне на получаването на лабораторни и образни резултати и до по-дълго чакане на пациентите.

На 29 декември SickKids обяви, че е възстановила 50 % от приоритетните си системи, включително тези, които са причинили забавяне на диагностиката или лечението.

Бандата LockBit се извинява за атаката

Както пръв отбеляза изследователят  Доминик Алвиери, два дни след последното съобщение на SickKids бандата за откуп LockBit се извини за атаката срещу болницата и пусна безплатен декриптор.

„Официално се извиняваме за атаката срещу sikkids.ca и даваме декриптора безплатно, партньорът, който атакува тази болница, наруши нашите правила, блокиран е и вече не е в нашата партньорска програма“, заяви бандата за рансъмуер в тъмната мрежа.

Бе потвърдено от няколко източника, че този файл е достъпен безплатно и твърди, че е декриптор за Linux/VMware ESXi. Тъй като няма допълнителен декриптор за Windows, това показва, че нападателят е могъл да криптира само виртуални машини в мрежата на болницата.

Операцията LockBit работи като Ransomware-as-a-Service, при която операторите поддържат криптографите и уебсайтовете, а филиалите или членовете на операцията пробиват мрежите на жертвите, крадат данни и криптират устройства.

Като част от това споразумение операторите на LockBit задържат приблизително 20 % от всички плащания на откупи, а останалата част отива при филиала.

Въпреки че операцията за откуп позволява на своите филиали да криптират фармацевтични компании, зъболекари и пластични хирурзи, тя им забранява да криптират „медицински институции“, където атаките могат да доведат до смърт.

„Забранено е да се криптират институции, в които увреждането на файловете може да доведе до смърт, като например кардиологични центрове, неврохирургични отделения, родилни домове и други подобни, т.е. тези институции, в които могат да се извършват хирургически процедури с високотехнологично оборудване, използващо компютри“, се обяснява в политиката на LockBit.

Кражбата на данни от всяко медицинско заведение е разрешена според правилата.

Според бандата за откупи, тъй като един от нейните филиали е криптирал устройствата на болницата, те са били отстранени от операцията и е бил предложен безплатен декриптор.

Това обаче не обяснява защо LockBit не е предоставила декриптор по-рано, като грижите за пациентите са били засегнати и SickKids е работила за възстановяване на дейността си от 18-ти.

Освен това LockBit има история на криптиране на болници и непредоставяне на декриптори, както се вижда от атаката ѝ срещу Center Hospitalier Sud Francilien (CHSF) във Франция, където беше поискан откуп от 10 млн. долара и в крайна сметка изтекоха данни за пациентите.

Атаката срещу френската болница доведе до насочване на пациенти към други медицински центрове и отлагане на операции, което можеше да доведе до значителен риск за пациентите.

Това не е първият случай, в който банда, занимаваща се с изнудване, предоставя безплатен декриптор на здравна организация.

През май 2021г. операцията Conti Ransomware предостави безплатен декриптор на националната здравна служба на Ирландия, HSE, след като бе изправена пред засилен натиск от страна на международните правоприлагащи органи.