Un gang de rançongiciels offre un décrypteur à l’hôpital SickKids de Toronto

Dans des excuses du Nouvel An, le gang de rançongiciels LockBit a exprimé ses regrets d’avoir attaqué l’hôpital pour enfants malades (SickKids) de Toronto et a envoyé un décrypteur gratuit afin que les fichiers puissent être déchiffrés.

Selon Brett Callow, un analyste des menaces basé en Colombie-Britannique pour Emsisoft, le gang a publié un message sur son site affirmant que l’attaque était l’œuvre d’un affilié et violait ses règles.

« Nous nous excusons officiellement pour l’attaque contre Sickkids.ca et rendons le décrypteur disponible gratuitement », indique la note. « Le partenaire qui a attaqué cet hôpital a violé nos règles, est bloqué et ne fait plus partie de notre programme d’affiliation. »

Dimanche soir (1er janvier), SickKids a publié une déclaration indiquant que ses conseillers tiers en récupération informatique évaluent le décrypteur. Il note également que les efforts de restauration informatique « progressent bien… Au 1er janvier, SickKids a déjà restauré plus de 60 % des systèmes prioritaires ; les efforts de restauration sont en cours et progressent bien. Il n’y a aucune preuve à ce jour que les renseignements personnels ou les renseignements personnels sur la santé ont été touchés. SickKids n’a pas effectué de paiement de rançongiciel ».

Certains groupes de rançongiciels fonctionnent sur un modèle de rançongiciel en tant que service avec des soi-disant partenaires spécialisés dans le développement et la diffusion de logiciels malveillants pour la compromission initiale d’une victime, laissant les développeurs de rançongiciels se concentrer sur leur code de cryptage. Le gang et l’affilié parviennent à un accord sur le partage des paiements que les victimes acceptent de faire. Dans certains modèles, l’affilié insère le rançongiciel après un compromis, et dans d’autres modèles, les opérateurs de rançongiciel ont le dernier mot.

« Ce n’est pas un acte de compassion ; c’est une question d’auto-préservation », a déclaré Brett Callow dans un courriel. « LockBit a attaqué des hôpitaux dans le passé et le fera probablement à nouveau. Pourquoi ont-ils proposé un décrypteur gratuit dans ce cas ? Probablement parce qu’ils croient qu’une attaque comme celle-ci rend plus difficile pour eux de percevoir le paiement des futures victimes. Les entreprises ne voudraient pas être perçues comme remettant de l’argent au type de cybercriminels qui lanceraient une attaque contre un hôpital pour enfants malades. »

Brett Callow a également noté que ce n’était pas la première fois qu’un groupe de rançongiciels aidait une victime. En 2021, le gang de rançongiciels Conti a mis à disposition un décrypteur après une attaque qui a paralysé le Health Services Executive (HSE) irlandais. Cependant, le code a été décrit comme défectueux et bogué. Et en 2020, le groupe DoppelPaymer aurait envoyé un décrypteur après qu’un hôpital allemand eut été touché.

Les excuses à SickKids sont intervenues 13 jours après que l’hôpital de renommée internationale eut été frappé par un rançongiciel affectant un certain nombre de systèmes.

La semaine dernière, dans sa dernière mise à jour, l’hôpital déclarait que près de la moitié des systèmes prioritaires avaient été restaurés avec succès après l’attaque de rançongiciel du 18 décembre. Cela inclut de nombreux systèmes qui auraient contribué aux retards de diagnostic et/ou de traitement. Les patients et les familles doivent toujours être préparés à des retards potentiels alors que les travaux se poursuivent pour remettre tous les systèmes en ligne, ajoutait l’hôpital.

L’hôpital a été invité à indiquer si le décrypteur sera utile ou fiable.

Pour des informations additionnelles, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Les sites Web du gang de rançongiciel AlphV/BlackCat saisis, le FBI publie un décrypteur

Les autorités américaines ont confirmé le démantèlement du gang de rançongiciel AlphV/BlackCat, notamment la saisie de plusieurs sites de fuite de données et de communication du groupe et la publication d'un décrypteur que les organisations victimes peuvent utiliser pour accéder à nouveau aux données brouillées.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.