El grupo de ransomware LockBit se disculpa diciendo que un ‘socio’ estuvo detrás del ataque de SickKids

TORONTO – Un operador global de ransomware se disculpó y se ofreció a desbloquear los datos objeto de un ataque de ransomware en el Hospital for Sick Children de Toronto, un movimiento que, según los expertos en ciberseguridad, es raro, si no sin precedentes, para el infame grupo.

LockBit, un grupo de ransomware que la Oficina Federal de Investigaciones de EE. UU. ha calificado como uno de los más activos y destructivos del mundo, emitió una breve disculpa el 31 de diciembre a lo que los expertos en seguridad cibernética dicen que es la página web oscura donde publica sobre sus rescates y fugas de datos.

En el comunicado, revisado directamente por The Canadian Press, LockBit afirmó haber bloqueado al “socio” responsable del ataque y ofreció a SickKids un descifrador gratuito para desbloquear sus datos.

“Hasta donde yo sé, esta es la primera vez que se disculpan y se ofrecen a entregar un descifrador gratuito”, dijo Brett Callow, un analista de amenazas con sede en Columbia Británica de la compañía antimalware Emsisoft que rastrea el ransomware. ataques

LockBit se ha relacionado con ataques cibernéticos recientes en municipios de Ontario y Quebec, dicen los expertos, y un ciudadano ruso-canadiense que vive en Brantford, Ontario, fue arrestado en octubre por su supuesta participación en el grupo.

Los funcionarios estadounidenses alegan que el grupo ha obtenido al menos $ 100 millones en demandas de rescate y extrajo decenas de millones de las víctimas.

“Son uno de los grupos, si no el más activo”, dijo Callow.

“Estos ataques a veces pueden originarse mucho más cerca de casa de lo que pensamos. Creemos que los ataques vienen de Rusia o [Commonwealth of Independent States] países, mientras que en algunos casos podrían tener su origen dentro de nuestra propia frontera”, dijo Callow.

SickKids reconoció el domingo que estaba al tanto de la declaración y dijo que estaba consultando a expertos para “validar y evaluar el uso del descifrador”.

El hospital aún se está recuperando del ataque cibernético que, según dijo, retrasó los resultados de laboratorio y de imágenes, cortó las líneas telefónicas y cerró el sistema de nómina del personal.

Hasta el domingo, más del 60 por ciento de sus “sistemas prioritarios” se habían vuelto a poner en línea, incluidos muchos que habían contribuido a los retrasos en el diagnóstico y el tratamiento, y los esfuerzos de restauración estaban “progresando bien”, dijo SickKids. El hospital dijo anteriormente que eliminó dos sitios web que opera el viernes después de informar “actividad inusual potencial”, aunque dijo que la actividad parecía no estar relacionada con el ataque cibernético.

El hospital continúa bajo un Código Gris (código hospitalario por falla del sistema) emitido el 18 de diciembre en respuesta al ataque cibernético.

Incluso si SickKids decidiera usar un descifrador LockBit, los expertos dicen que el hospital todavía enfrenta una serie de obstáculos.

Los grupos de ransomware son buenos codificando archivos, dijo Chester Wisniewski, científico investigador principal con sede en Vancouver de la firma de seguridad cibernética Sophos.

“No son tan buenos para descifrarlos”, dijo.

Las organizaciones de atención médica que usan el descifrador de un grupo de ransomware, porque pagaron un rescate o no, recuperan en promedio alrededor de dos tercios de sus archivos, dijo Wisniewski, citando una encuesta de Sophos de cientos de organizaciones. El trabajo prolongado y costoso de descifrado también se deja en manos de la propia organización, sin mencionar el costo de contratar expertos externos para revisar, investigar y reconstruir después del ataque.

Y luego está el tema del socio de LockBit, dijo Callow.

LockBit opera como un esquema criminal de marketing multinivel, dicen los expertos, alquilando su malware a afiliados de piratas informáticos a cambio de una parte de cualquier rescate que extorsionen. La declaración de LockBit dice que el socio que atacó a SickKids ya no forma parte de su programa, pero no está claro si ese socio todavía tiene algún archivo que pueda haber sido robado en el ataque de SickKids, dijo Callow.

“Esos datos ahora podrían estar en manos de alguien que está bastante enojado por no haber podido monetizar este ataque en particular”, dijo.

SickKids dice que “no hay evidencia hasta la fecha” de que la información personal se haya visto comprometida, pero los expertos dicen que tratan esas declaraciones con cierto grado de escepticismo hasta que se complete una investigación completa.

Mientras tanto, la disculpa de LockBit parece ser una forma de manejar su imagen, dijo Wisniewski.

El grupo está compitiendo con otros operadores de malware de alto perfil que también están tratando de cortejar a los piratas informáticos para que usen su sistema para llevar a cabo lucrativos ataques cibernéticos, dijo. Los piratas informáticos parecen moverse entre los operadores con frecuencia.

Sugirió que la medida podría estar dirigida a aquellos socios que podrían ver el ataque a un hospital infantil como un paso demasiado lejos.

“Mi instinto sería que esto está más dirigido a los afiliados criminales, tratando de no disgustarlos para que se cambien a un grupo de rescate diferente”, dijo Wisniewski.

LockBit estuvo implicado en un ataque a un hospital en Francia el año pasado donde supuestamente pidió millones de dólares para restaurar la red, dijo Callow. También se ha relacionado con ataques de ransomware recientes dirigidos a la ciudad de St. Mary’s, Ontario, y la ciudad de Westmount, Quebec, agregó.

Y en este caso, no se pueden pasar por alto los posibles impactos en la atención del paciente en un gran hospital pediátrico, dijo Callow.

“Tratamiento retrasado, diagnóstico retrasado: el impacto de eso puede no ser claro hasta semanas, meses o años, incluso, después del evento”, dijo Callow.

Este informe de The Canadian Press se publicó por primera vez el 2 de enero de 2023.

CUOTA: