Le célèbre groupe de hackers Lockbit a livré gratuitement la clé de déchiffrement pour débloquer le système informatique d’un établissement pédiatrique attaqué par ransomware. Le collectif a également présenté ses excuses.
Les cyberattaques d’hôpitaux ne semblent pas poser de problème de conscience aux hackers, mais parfois certains sont pris de remords. Fait rare, après l’attaque d’un centre hospitalier pédiatrique de Toronto au Canada, le groupe exploitant le ransomware Lockbit 2.0 et ses nombreux variants a rapidement donné la clé de déchiffrement en s’excusant.
L’hôpital SickKids est spécialisé dans la recherche et les soins pour les enfants malades. Ce 18 décembre, il avait été impacté lourdement par un ransomware qui a paralysé ses lignes téléphoniques, son site Web et une partie des systèmes informatiques de l’hôpital. Le chiffrement s’en était contenté d’un nombre limité, mais la coupure de certains autres avait engendré des retards pour la prise en charge et le traitement des petits patients.
Il a fallu plus de dix jours pour que le service informatique du centre puisse rétablir 50 % de ses systèmes prioritaires et notamment ceux qui engendraient les retards sur les diagnostics et les traitements. Le groupe s’est confondu en excuses sur son blog en indiquant qu’un de ses partenaires avait violé son règlement et qu’il ne faisait plus partie de leur programme d’affiliation.
Un règlement à géométrie variable
Cette annonce montre l’originalité de ce groupe à la fois informel et très organisé, dont les activités semblent loin d’être régies par les lois de la jungle cybercriminelle que l’on peut imaginer. Lockbit est ce que l’on appelle un Ransomware-as-a-Service, un « ransomware en tant que service » en français. Cela signifie qu’il est possible de louer une attaque personnalisée et d’en récupérer les bénéfices. Dans le cadre de l’accord d’utilisation de ce service, les gestionnaires de Lockbit prélèvent 20 % des rançons réclamées. Le reste du butin revient à l’attaquant. Ce groupe est bien connu en France pour ses attaques contre la mairie de Saint-Cloud et le ministère de la Justice.
Cette organisation, qui prétend avoir des règles, autorise pourtant les attaques contre les organisations liées à la santé. Les limites concernent les chiffrements qui pourraient entraîner la mort, comme c’est déjà arrivé pour une patiente dans un hôpital en Allemagne en septembre 2020.
Et pourtant, Lockbit n’a pas toujours le même niveau d’exigence vis-à-vis de son règlement. Le groupe et ses opérateurs se sont fait remarquer dernièrement pour l’attaque contre le Centre Hospitalier Sud-Francilien (CHSF) situé à Corbeil-Essonnes, en France. Une affaire dans laquelle, la rançon n’a pas été versée et les données des patients ont finalement été divulguées par les opérateurs de Lockbit. Cette cyberattaque a profondément désorganisé le centre hospitalier et le risque pour les patients était suffisamment élevé pour que ce soi-disant règlement soit appliqué.
futura