The Hospital for Sick Children de Toronto, en Canadá, había sufrido un ataque de ransomware y que los responsables del centro advertían de que la recuperación del incidente podría llevarles unas cuantas semanas. El suceso se produjo el pasado 18 de diciembre, aunque no se hizo público hasta días más tarde.
La atención de urgencia y emergencia en SickKids, así como las citas y los procedimientos programados, continuaron, pese a que los sistemas afectados quedaran offline. Sin embargo, los equipos clínicos experimentaron retrasos en la recuperación de los resultados de laboratorio y de imágenes, ocasionando tiempos de espera más largos para los pacientes y sus familias.
Muchos expertos criticaron esta amenaza y a sus artífices por su crueldad, no solo por atacar un hospital infantil por motivos económicos, sino también por hacerlo en estas fechas tan señaladas.
Los autores del ataque han reflexionado y dado marcha atrás. Es nada menos que la famosa y peligrosa pandilla de ransomware LockBit.
LockBit se ha disculpado formalmente y ha proporcionado un descifrador gratuito para el hospital.
DECRYPTOR_sickkids.ca.zip
¿Ciberdelincuentes con principios?
Parece que el grupo cuenta con cierta norma ética para sus afiliados que prohibe atacar a organizaciones de atención médica. Dicha política impide que se puedan cifrar sistemas de organizaciones o instituciones donde los daños ocasionados podrían causar la muerte de personas.
La pandilla ha explicado que uno de sus afiliados usó su ransomware para atacar a SideKick violando sus reglas, por lo que lo habrían bloqueado.
“Nos disculpamos formalmente por el ataque a sikkids.ca y devolvemos el descifrador de forma gratuita. El socio que atacó este hospital violó nuestras reglas, está bloqueado y ya no está en nuestro programa de afiliados”, explica Lockbit en su página de filtraciones de la dark web.
El grupo LockBit se ejecuta como un Ransomware-as-a-Service, donde los operadores mantienen los cifradores y los sitios web, y los afiliados o miembros de la operación, hackean las redes de las víctimas, roban datos y cifran dispositivos.
Como parte de este acuerdo, los operadores de LockBit se quedan con aproximadamente el 20 % de todos los pagos de rescate y el resto va al afiliado.
Si bien la operación de ransomware permite a sus afiliados atacar compañías farmacéuticas, dentistas y cirujanos plásticos, les prohíbe cifrar «instituciones médicas» donde los ataques podrían causar la muerte.
“Está prohibido atacar instituciones donde el daño a los archivos pueda causar la muerte, tales como centros de cardiología, departamentos de neurocirugía, maternidades y similares, es decir, aquellas instituciones donde se puedan realizar procedimientos quirúrgicos en equipos de alta tecnología usando computadoras, » explica las políticas de operación del ransomware.
- El robo de datos de cualquier institución médica está permitido según las políticas.
Según la banda de ransomware, como uno de sus afiliados cifró los dispositivos del hospital, se retiraron de la operación y se ofreció un descifrador de forma gratuita.
Sin embargo, esto no explica por qué LockBit no proporcionó un descifrador antes, ya que la atención al paciente se vio afectada y SickKids trabajó para restaurar las operaciones desde el 18.
Además, LockBit tiene un historial de atacar hospitales y no proporcionar cifrados, como se vio en su ataque contra el Centre Hospitalier Sud Francilien (CHSF) en Francia, donde se exigió un rescate de $10 millones y finalmente se filtraron los datos de los pacientes.
El ataque al hospital francés provocó la derivación de pacientes a otros centros médicos y el aplazamiento de cirugías, lo que podría haber supuesto un riesgo significativo para los pacientes.
Esta no es la primera vez que una pandilla de ransomware proporciona un descifrador gratuito a una organización de atención médica.
En mayo de 2021, la operación Conti Ransomware proporcionó un descifrador gratuito al servicio nacional de salud de Irlanda, el HSE, después de enfrentar una mayor presión por parte de las fuerzas del orden internacionales.
