Ransomware | Grupul LockBit își cere scuze pentru atacul la spitalul din Toronto

(Toronto) Un operator global de ransomware și-a emis scuze și s-a oferit să deblocheze date vizate într-un atac ransomware la Spitalul pentru Copii Bolnavi din Toronto, o mișcare rară, potrivit experților în securitate cibernetică, dacă nu fără precedent pentru grupul infam.


LockBit, un grup de ransomware pe care poliția federală americană, FBI, l-a numit unul dintre cele mai active și mai distructive din lume, și-a dat scuze scurte pe 31 decembrie cu privire la ceea ce experții în securitate cibernetică consideră pagina web-ului invizibil unde își publică el. răscumpărări și scurgeri de date.

În declarația, revizuită de The Canadian Press, LockBit a susținut că l-a blocat pe „partenerul” responsabil pentru atac și a oferit Spitalului pentru Copii Bolnavi din Toronto un decriptor gratuit pentru a-și debloca datele.

„Din câte știu eu, aceasta este prima dată când își cer scuze și s-au oferit să ofere un decriptor gratuit”, a declarat Brett Callow, analist de amenințări pentru firma anti-malware Emsisoft, care urmărește atacurile malware. ransomware, cu sediul în British Columbia.

LockBit a fost legat de recentele atacuri cibernetice asupra municipalităților din Ontario și Quebec, spun experții, iar un cetățean ruso-canadian care locuiește în Brantford, Ontario, a fost arestat în octombrie pentru presupusa sa implicare în grup.

Oficialii americani spun că grupul a cerut răscumpărări de cel puțin 100 de milioane de dolari și a extras zeci de milioane de la victime.

„Sunt unul dintre cele mai active grupuri, dacă nu chiar cel mai mult”, a argumentat Brett Callow.

„Aceste atacuri pot veni uneori din mult mai aproape de casă decât credem. Credem că atacurile vin din Rusia sau din țările din [Communauté des États indépendants]în timp ce în unele cazuri ar putea veni de la propria noastră graniță”, a spus domnul Callow.

Spitalul pentru Copii Bolnavi din Toronto a recunoscut duminică că este la curent cu declarația și a spus că se consultă cu experți pentru „validarea și evaluarea utilizării decriptorului”.

Spitalul încă se recuperează de atacul cibernetic despre care a spus că a întârziat rezultatele de laborator și imagistice, a tăiat liniile telefonice și a oprit sistemul de salarizare a personalului.

Începând de duminică, mai mult de 60% din „sistemele sale prioritare” fuseseră readuse online, multe dintre ele au contribuit la întârzierile de diagnosticare și tratament. Eforturile de restaurare „au progresat bine”, a spus spitalul.

El a spus că a distrus două site-uri web pe care le opera vineri după ce a raportat „o activitate neobișnuită potențială”, dar a spus că activitatea nu pare să aibă legătură cu atacul cibernetic.

Spitalul continuă să fie sub un cod gri – codul spitalului de defecțiune a sistemului – emis pe 18 decembrie ca răspuns la atacul cibernetic.

Mai greu de descifrat

Chiar dacă Spitalul pentru Copii Bolnavi din Toronto a decis să folosească un decriptor LockBit, experții spun că spitalul se confruntă în continuare cu o serie de obstacole.

Grupurile de ransomware sunt bune la amestecarea fișierelor, a spus Chester Wisniewski, cercetător senior la firma de securitate cibernetică Sophos din Vancouver. „Nu sunt atât de buni să le descifreze”, a susținut el.

Organizațiile din domeniul sănătății care folosesc decriptorul unui grup de ransomware, pentru că au plătit o răscumpărare sau altfel, recuperează în medie aproximativ două treimi din fișierele lor, a spus Wisniewski, citând un sondaj Sophos pe sute de organizații. Lucrarea consumatoare de timp și costisitoare de decriptare este lăsată, de asemenea, în seama organizației însăși, ca să nu mai vorbim de costul angajării de experți terți pentru a revizui, investiga și reconstrui după hack.

Și apoi este problema partenerului LockBit, a adăugat Callow.

Potrivit experților, LockBit funcționează ca o schemă de marketing criminală cu mai multe straturi, închiriind malware-ul său hackerilor afiliați în schimbul unei părți din orice răscumpărare pe care o extorcă.

Declarația LockBit spune că partenerul care a atacat Toronto Hospital Centre nu mai face parte din programul său, dar nu este clar dacă acel partener mai are fișiere care ar fi putut fi furate în atac, a spus LockBit. spuse domnul Callow.

„Aceste date ar putea fi acum în mâinile cuiva care este destul de supărat că nu ar putea monetiza acest atac special”, a explicat el.

Spitalul pentru Copii Bolnavi din Toronto spune că „nu există nicio dovadă până în prezent” că orice informație personală ar fi fost compromisă, dar experții spun că tratează astfel de afirmații cu oarecare scepticism până la finalizarea unei investigații complete.

Între timp, scuzele lui LockBit par a fi o modalitate de a-și gestiona imaginea, crede Wisniewski.

Grupul concurează cu alți operatori proeminenți de malware care încearcă, de asemenea, să atragă hackerii să-și folosească sistemul pentru a efectua atacuri cibernetice profitabile, a spus el. Hackerii par să schimbe frecvent între operatori.

El a sugerat că decizia ar putea fi îndreptată către parteneri care ar putea vedea atacul asupra unui spital de copii ca un pas prea departe.

„Sentimentul meu ar fi că acest lucru vizează mai mult afiliații criminali care încearcă să nu-i amâne să se mute la alt grup de ransomware”, a spus Wisniewski.

Creșterea atacurilor cibernetice în timpul pandemiei

Centrul canadian pentru securitate cibernetică a spus că, deși este la curent cu incidentul recent de securitate cibernetică cu Spitalul pentru Copii Bolnavi din Toronto, nu comentează evenimente specifice.

Un purtător de cuvânt al centrului, care raportează Federal Communications Security Establishment, a declarat în declarație că incidentele de securitate cibernetică rămân o amenințare persistentă pentru guvernul canadian și organizațiile neguvernamentale, precum și pentru infrastructura critică.

„În general, Centrul pentru Securitate Cibernetică a observat o creștere a amenințărilor cibernetice în timpul pandemiei de COVID-19, inclusiv amenințarea cu atacuri ransomware împotriva unităților de asistență medicală și de cercetare medicală de primă linie din întreaga lume. țară”, a spus Evan Koronewski.

El a spus că peste 400 de organizații de asistență medicală din Canada și Statele Unite au suferit un atac de tip ransomware din martie 2020.

„Cibercriminalii aruncă de obicei o plasă largă, nu în mod normal împotriva unor ținte specifice, în căutarea de câștiguri financiare”, a spus Koronewski. În timp ce amenințarea pe care o reprezintă ransomware-ul pentru indivizi rămâne, alți infractori cibernetici și-au schimbat tactica, dedicând mai multe resurse pentru a urmări ținte mai mari și mai profitabile din punct de vedere financiar. »

LockBit a fost implicat într-un atac asupra unui spital din Franța anul trecut, unde ar fi cerut milioane de dolari pentru restabilirea rețelei, a spus Callow. Grupul a fost, de asemenea, legat de recentele atacuri ransomware care vizează orașul St Mary’s, Ontario și orașul Westmount, Quebec, a adăugat el.

Și în acest caz, posibilele impacturi asupra îngrijirii pacienților la un spital mare de pediatrie nu pot fi trecute cu vederea, a argumentat Callow.

„Tratament întârziat, diagnostice întârziate – impactul acestora poate avea consecințe doar la săptămâni, luni sau chiar ani de la eveniment”, a argumentat Callow.

Add Comment