Le célèbre groupe de hackers Lockbit a livré gratuitement la clé de déchiffrement pour débloquer le système informatique d'un établissement pédiatrique attaqué par ransomware. Le collectif a également présenté ses excuses.

au sommaire

    Les cyberattaques d'hôpitaux ne semblent pas poser de problème de conscience aux hackers, mais parfois certains sont pris de remords. Fait rare, après l'attaque d'un centre hospitalier pédiatrique de Toronto au Canada, le groupe exploitant le ransomwareransomware Lockbit 2.0 et ses nombreux variants a rapidement donné la clé de déchiffrement en s'excusant.

    L'hôpital SickKids est spécialisé dans la recherche et les soins pour les enfants malades. Ce 18 décembre, il avait été impacté lourdement par un ransomware qui a paralysé ses lignes téléphoniques, son site Web et une partie des systèmes informatiques de l’hôpital. Le chiffrement s'en était contenté d'un nombre limité, mais la coupure de certains autres avait engendré des retards pour la prise en charge et le traitement des petits patients.

    Il a fallu plus de dix jours pour que le service informatique du centre puisse rétablir 50 % de ses systèmes prioritaires et notamment ceux qui engendraient les retards sur les diagnosticsdiagnostics et les traitements. Le groupe s'est confondu en excuses sur son blogblog en indiquant qu'un de ses partenaires avait violé son règlement et qu'il ne faisait plus partie de leur programme d'affiliationaffiliation.

    « <em>Nous nous excusons formellement pour l'attaque contre sickkids.ca et livrons gratuitement la clé de déchiffrement. Le partenaire, qui a attaqué cet hôpital, a violé nos règles, est bloqué et ne fait plus partie de notre programme d'affiliation </em>». Voici le communiqué d’excuses publié sur le blog de LockBit sur le darknet. © Bleeping Computer
    « Nous nous excusons formellement pour l'attaque contre sickkids.ca et livrons gratuitement la clé de déchiffrement. Le partenaire, qui a attaqué cet hôpital, a violé nos règles, est bloqué et ne fait plus partie de notre programme d'affiliation ». Voici le communiqué d’excuses publié sur le blog de LockBit sur le darknet. © Bleeping Computer

    Un règlement à géométrie variable

    Cette annonce montre l'originalité de ce groupe à la fois informel et très organisé, dont les activités semblent loin d'être régies par les lois de la jungle cybercriminelle que l'on peut imaginer. Lockbit est ce que l'on appelle un Ransomware-as-a-Service, un « ransomware en tant que service » en français. Cela signifie qu'il est possible de louer une attaque personnalisée et d'en récupérer les bénéfices. Dans le cadre de l'accord d'utilisation de ce service, les gestionnaires de Lockbit prélèvent 20 % des rançons réclamées. Le reste du butin revient à l'attaquant. Ce groupe est bien connu en France pour ses attaques contre la mairie de Saint-Cloud et le ministère de la Justice.

    Cette organisation, qui prétend avoir des règles, autorise pourtant les attaques contre les organisations liées à la santé. Les limites concernent les chiffrements qui pourraient entraîner la mort, comme c'est déjà arrivé pour une patiente dans un hôpital en Allemagne en septembre 2020.

    Et pourtant, Lockbit n'a pas toujours le même niveau d'exigence vis-à-vis de son règlement. Le groupe et ses opérateurs se sont fait remarquer dernièrement pour l'attaque contre le Centre Hospitalier Sud-Francilien (CHSF) situé à Corbeil-Essonnes, en France. Une affaire dans laquelle, la rançon n'a pas été versée et les données des patients ont finalement été divulguées par les opérateurs de Lockbit. Cette cyberattaque a profondément désorganisé le centre hospitalier et le risque pour les patients était suffisamment élevé pour que ce soi-disant règlement soit appliqué.