LockBit ransomware-as-a-service-operationen sagde, at det er imod dets regler at angribe medicinske institutioner, men ransomware-bandens tilknyttede virksomheder overholder ikke altid denne politik.
LockBit, en fremtrædende ransomware-as-a-service (RaaS) operation, har undskyldt for et angreb på Toronto-baserede Hospital for Sick Children, også kendt som SickKids, og tilbudt en gratis decryptor.
SickKids, et stort pædiatrisk universitetshospital, meddelte den 19. december, at det havde kaldt en Code Grey-systemfejl, da det reagerede på en cybersikkerhedshændelse, der påvirkede flere netværkssystemer på hospitalet.
Hændelsen påvirkede nogle interne kliniske og virksomhedssystemer samt hospitalets telefonlinjer og websider. Den 29. december sagde SickKids, at det havde genoprettet 50% af sine prioriterede systemer, herunder dem, der forårsager diagnostiske eller behandlingsforsinkelser.
Den 31. december udsendte LockBit imidlertid en erklæring, der undskyldte for angrebet og tilbød en gratis decryptor for den ransomware, der blev brugt i operationen. “Vi undskylder formelt for angrebet på sikkids.ca og giver dekrypteren tilbage gratis, partneren, der angreb dette hospital, overtrådte vores regler, er blokeret og er ikke længere i vores tilknyttede program,” ifølge erklæringen, som først blev bemærket af sikkerhedsforsker Dominic Alvieri.
Filen ser ud til at være en Linux / VMware ESXi decryptor, ifølge Bleeping Computer.
LockBit-skaberne udlejer deres ransomware til tredjeparter kaldet tilknyttede virksomheder og kontrollerer programmets kryptere og datalækagewebsteder. Ransomware bruges af tilknyttede virksomheder til at bryde netværk og stjæle eller kryptere data for et snit på op til 75% af de penge, som ofrene betaler som løsesum.
LockBit siger, at det ikke vil angribe hospitaler
Gruppen har dog en politik mod at målrette mod organisationer, der opererer inden for sundheds-, uddannelses-, velgørenheds- og socialsektoren, ifølge et offentligt interview fra 2021 med et påstået LockBit-bandemedlem.
I mellemtiden har SickKids bekræftet, at det er opmærksom på erklæringen udstedt af ransomware-gruppen og tilbuddet om en decryptor. “Vi har engageret vores tredjepartseksperter til at validere og vurdere brugen af dekrypteren,” sagde hospitalet den 1. januar.
På det tidspunkt sagde SickKids, at det allerede havde genoprettet over 60% af prioritetssystemerne, og restaureringsindsatsen var i gang og skred godt frem. Der var ingen beviser for, at personlige oplysninger eller personlige helbredsoplysninger er blevet påvirket, og SickKids havde ikke foretaget en ransomware-betaling, sagde hospitalet.
LockBit-datterselskaber har ikke altid overholdt sin politik mod at målrette hospitaler. For eksempel blev LockBit i august sidste år brugt mod Center Hospitalier Sud Francilien (CHSF), og der blev krævet en løsesum på 10 millioner dollars. Patientdataene blev efterfølgende lækket, efter at hospitalet nægtede at betale.
Ellers er LockBit dukket op som den øverste ransomware-bande, hvor version 3.0 af dens ransomware bliver den førende ransomware-stamme i tredje kvartal af 2022.
Dets aktiviteter fortsætter. Den 25. december blev Lissabons havn målrettet af LockBit, selvom havnen sagde, at ingen operationel aktivitet blev kompromitteret. LockBit har allerede offentliggjort en løsesumnote, der kræver $ 1.5 millioner på sit officielle websted inden for Tor darknet. Løsesummen skal betales senest den 18. januar, oplyser banden.
Kilde: CSO
Foto: Pexels