Basé à Toronto au Canada, le centre hospitalier universitaire pédiatrique SickKids (The Hospital for Sick Children) a été la victime d’une cyberattaque par ransomware le 18 décembre 2022. Elle a eu pour conséquence d’empêcher l’accès à plusieurs systèmes critiques.
Le 29 décembre, SickKids a indiqué avoir restauré l’accès à près de 50 % de ses systèmes prioritaires, y compris un grand nombre de systèmes à l’origine de retards de diagnostic et de traitement.
» Les patients et les familles doivent se préparer à des retards potentiels « , avait néanmoins prévenu l’hôpital pour enfants, tout en soulignant que la restauration des systèmes se fait plus rapidement que prévu.
Un déchiffreur gratuit et des excuses
Alors que 60 % des systèmes prioritaires ont désormais été restaurés, SickKids a pris connaissance dimanche d’une publication du groupe de ransomware LockBit. Via son portail avec une adresse en .onion sur le réseau Tor, le groupe propose un outil de déchiffrement gratuit afin de restaurer les systèmes du centre hospitalier affectés par la cyberattaque.
» Nous avons fait appel à des experts tiers pour valider et évaluer l’utilisation du déchiffreur « , déclare SickKids, en précisant ne pas avoir effectué de paiement d’une rançon en rapport avec le ransomware. » Il n’y a aucune preuve à ce jour que des informations personnelles ou des informations de santé personnelles aient été touchées. «
Dans son message où il annonce donner gratuitement la clé de déchiffrement, le groupe de ransomware LockBit présente ses excuses pour l’attaque ayant frappé SickKids. Le groupe assure que le partenaire ayant attaqué l’hôpital a enfreint ses règles et a été bloqué. » Il ne fait plus partie de notre programme d’affiliation. «
LockBit a ses conditions d’utilisation
Le groupe de ransomware LockBit fonctionne selon un modèle de Ransomware-as-a-Service (RaaS). Il fournit l’infrastructure et les services de chiffrement de fichiers. Des affiliés se chargent de mener des attaques. Pour servir de moyen de pression, un chiffrement de fichiers s’accompagne souvent d’une exfiltration de données avec menace de divulgation.
Les opérateurs de LockBit prélèvent une commission de 20 % sur les paiements de rançons et le reste va dans les poches des affiliés. Parmi les règles du programme d’affiliation et les catégories de cibles à attaquer, il est stipulé :
» Il est interdit de chiffrer des établissements où l’endommagement des fichiers pourrait entraîner la mort, comme les centres de cardiologie, les services de neurochirurgie, les maternités et autres, c’est-à-dire des établissements où des interventions chirurgicales avec des équipements de haute technologie utilisant des ordinateurs peuvent être effectuées. «
Pour autant, il est permis de voler les données de n’importe quel établissement médical sans les chiffrer… Rappelons que l’été dernier, une attaque par ransomware LockBit avait frappé le Centre Hospitalier Sud Francilien de Corbeil-Essonnes en France. Et il n’y avait pas eu d’excuses.