LockBit a été connecté à de récentes cyberattaques contre des municipalités de l’Ontario et du Québec, selon des experts
Contenu de l’article
TORONTO – Un opérateur mondial de ransomware a présenté des excuses et a proposé de déverrouiller les données ciblées dans une attaque de ransomware contre l’Hospital for Sick Children de Toronto, une décision selon les experts en cybersécurité rare, voire sans précédent, pour le tristement célèbre groupe.
Publicité 2
Contenu de l’article
LockBit, un groupe de rançongiciels que le Federal Bureau of Investigation des États-Unis a qualifié de l’un des plus actifs et des plus destructeurs au monde, a présenté de brèves excuses le 31 décembre à ce que les experts en cybersécurité disent être la page Web sombre où il publie ses rançons et fuites de données.
Dans la déclaration, examinée directement par La Presse canadienne, LockBit a affirmé avoir bloqué le « partenaire » responsable de l’attaque et a offert à SickKids un décrypteur gratuit pour déverrouiller ses données.
« Pour autant que je sache, c’est la première fois qu’ils présentent des excuses et proposent de remettre un décrypteur gratuit », a déclaré Brett Callow, analyste des menaces basé en Colombie-Britannique pour la société anti-malware Emsisoft qui suit les ransomwares. attaques.
LockBit a été lié à de récentes cyberattaques contre des municipalités de l’Ontario et du Québec, selon des experts, et un citoyen russo-canadien vivant à Brantford, en Ontario, a été arrêté en octobre pour sa participation présumée au groupe.
Publicité 3
Contenu de l’article
Les responsables américains affirment que le groupe a fait au moins 100 millions de dollars en demandes de rançon et a extrait des dizaines de millions de victimes.
« Ils sont l’un des groupes, sinon le plus actif », a déclaré Callow.
-
Le SickKids de Toronto supprime des sites Web pour «activité inhabituelle»
-
Une attaque de ransomware retarde les résultats du laboratoire SickKids, les systèmes pourraient être hors ligne pendant des semaines
« Ces attaques peuvent parfois provenir de beaucoup plus près de chez nous que nous ne le pensons. Nous pensons que les attaques viennent de Russie ou de pays 1/8 de la Communauté d’États indépendants3/8, alors que dans certains cas, elles pourraient provenir de notre propre frontière », a déclaré Callow.
SickKids a reconnu dimanche qu’il était au courant de la déclaration et a déclaré qu’il consultait des experts pour « valider et évaluer l’utilisation du décrypteur ».
Publicité 4
Contenu de l’article
L’hôpital se remet toujours de la cyberattaque qui, selon lui, a retardé les résultats de laboratoire et d’imagerie, coupé les lignes téléphoniques et fermé le système de paie du personnel.
Dimanche, plus de 60% de ses «systèmes prioritaires» avaient été remis en ligne, dont beaucoup avaient contribué aux retards de diagnostic et de traitement, et les efforts de restauration «progressaient bien», a déclaré SickKids.
L’hôpital avait précédemment déclaré avoir supprimé vendredi deux sites Web qu’il exploitait après avoir signalé une « activité inhabituelle potentielle », bien qu’il ait déclaré que l’activité ne semblait pas liée à la cyberattaque.
L’hôpital continue d’être sous un code gris – code d’hôpital pour défaillance du système – émis le 18 décembre en réponse à la cyberattaque.
Publicité 5
Contenu de l’article
Même si SickKids a décidé d’utiliser un décrypteur LockBit, les experts disent que l’hôpital est toujours confronté à un certain nombre d’obstacles.
Les groupes de rançongiciels sont doués pour brouiller les fichiers, a déclaré Chester Wisniewski, chercheur principal basé à Vancouver au sein de la société de cybersécurité Sophos.
« Ils ne sont pas très doués pour les décrypter », a-t-il déclaré.
Les organisations de santé qui utilisent le décrypteur d’un groupe de rançongiciels, parce qu’elles ont payé une rançon ou autrement, récupèrent en moyenne environ les deux tiers de leurs fichiers, a déclaré Wisniewski, citant une enquête Sophos auprès de centaines d’organisations. Le travail long et coûteux de décryptage est également laissé à l’organisation elle-même, sans parler du coût de l’embauche d’experts tiers pour examiner, enquêter et reconstruire après le piratage.
Publicité 6
Contenu de l’article
Et puis il y a le problème du partenaire de LockBit, a déclaré Callow.
Selon les experts, LockBit fonctionne comme un système de marketing criminel à plusieurs niveaux, louant ses logiciels malveillants à des pirates affiliés en échange d’une part de toute rançon qu’ils extorquent. La déclaration de LockBit indique que le partenaire qui a frappé SickKids ne fait plus partie de son programme, mais il n’est pas clair si ce partenaire détient toujours des fichiers qui auraient pu être volés lors de l’attaque de SickKids, a déclaré Callow.
« Ces données pourraient maintenant être entre les mains de quelqu’un qui est assez énervé de n’avoir pas pu monétiser cette attaque particulière », a-t-il déclaré.
SickKids dit qu’il n’y a « aucune preuve à ce jour » que des informations personnelles ont été compromises, mais les experts disent qu’ils traitent ces déclarations avec un certain scepticisme jusqu’à ce qu’une enquête complète soit terminée.
Publicité 7
Contenu de l’article
Les excuses de LockBit, quant à elles, semblent être un moyen de gérer son image, a déclaré Wisniewski.
Le groupe est en concurrence avec d’autres opérateurs de logiciels malveillants de premier plan qui tentent également de courtiser les pirates pour qu’ils utilisent leur système pour mener des cyberattaques lucratives, a-t-il déclaré. Les pirates semblent se déplacer fréquemment entre les opérateurs.
Il a suggéré que cette décision pourrait être dirigée vers les partenaires qui pourraient considérer l’attaque contre un hôpital pour enfants comme un pas trop loin.
« Mon instinct serait que cela vise davantage les affiliés criminels eux-mêmes essayant de ne pas les dégoûter en passant à un autre groupe de rançon », a déclaré Wisniewski.
Le Centre canadien pour la cybersécurité a déclaré que bien qu’il soit au courant du récent incident de cybersécurité avec SickKids, il ne commente pas des événements spécifiques.
Publicité 8
Contenu de l’article
Un porte-parole du centre, qui relève du Centre fédéral de la sécurité des communications, a déclaré dans le communiqué que les incidents de cybersécurité demeurent une menace persistante pour les organisations gouvernementales et non gouvernementales canadiennes, ainsi que pour les infrastructures essentielles.
« De manière générale, le Cyber Center a remarqué une augmentation des cybermenaces pendant la pandémie de COVID-19, y compris la menace d’attaques de ransomwares contre les établissements de soins de santé et de recherche médicale de première ligne du pays », a déclaré Evan Koronewski.
Il a déclaré que plus de 400 organisations de soins de santé au Canada et aux États-Unis ont subi une attaque de ransomware depuis mars 2020.
« Les cybercriminels jettent généralement un large filet, pas généralement contre des cibles spécifiques, à la recherche d’un profit financier », a déclaré Koronewski. « Alors que la menace que représentent les rançongiciels pour les individus demeure, d’autres cybercriminels ont changé de tactique, consacrant plus de ressources pour cibler des cibles plus importantes et plus lucratives financièrement. »
LockBit a été impliqué dans une attaque contre un hôpital en France l’année dernière où il aurait demandé des millions de dollars pour restaurer le réseau, a déclaré Callow. Il a également été lié à de récentes attaques de rançongiciels ciblant la ville de St. Mary’s, en Ontario, et la ville de Westmount, au Québec, a-t-il ajouté.
Et dans ce cas, les impacts possibles sur les soins aux patients dans un grand hôpital pédiatrique ne peuvent être négligés, a déclaré Callow.
« Traitement retardé, diagnostics retardés – l’impact de ceux-ci peut ne pas être clair avant des semaines, des mois ou des années, voire, après l’événement », a déclaré Callow.