El grupo LockBit se disculpa por el ataque al hospital de Toronto

El grupo LockBit se disculpa por el ataque al hospital de Toronto
El grupo LockBit se disculpa por el ataque al hospital de Toronto

(Toronto) Un operador global de ransomware se disculpó y se ofreció a desbloquear datos específicos en un ataque de ransomware en el Hospital for Sick Children en Toronto, un movimiento poco común según los expertos en seguridad cibernética, si no sin precedentes para el infame grupo.

Jordan Omstead

la prensa canadiense

LockBit, un grupo de ransomware que la policía federal estadounidense, el FBI, ha calificado como uno de los más activos y destructivos del mundo, emitió una breve disculpa el 31 de diciembre sobre lo que los expertos en ciberseguridad consideran la página de la web invisible donde publica su rescates y fugas de datos.

En la declaración, revisada por The Canadian Press, LockBit afirmó haber bloqueado al “socio” responsable del ataque y le ofreció al Hospital for Sick Children en Toronto un descifrador gratuito para desbloquear sus datos.

“Hasta donde yo sé, esta es la primera vez que se disculpan y se ofrecen a entregar un descifrador gratuito”, dijo Brett Callow, analista de amenazas de la firma antimalware Emsisoft, que rastrea los ataques de malware. ransomware, con sede en la Columbia Británica.

LockBit se ha relacionado con ataques cibernéticos recientes en municipios de Ontario y Quebec, dicen los expertos, y un ciudadano ruso-canadiense que vive en Brantford, Ontario, fue arrestado en octubre por su supuesta participación en el grupo.

Funcionarios estadounidenses dicen que el grupo exigió al menos 100 millones de dólares en rescates y extrajo decenas de millones de las víctimas.

“Son uno de los grupos más activos, si no el que más”, argumentó Brett Callow.

“Estos ataques a veces pueden venir mucho más cerca de casa de lo que pensamos. Creemos que los ataques vienen de Rusia o de países del [Communauté des États indépendants]mientras que en algunos casos podrían provenir de nuestra propia frontera”, dijo Callow.

El Hospital for Sick Children en Toronto reconoció el domingo que estaba al tanto de la declaración y dijo que estaba consultando con expertos para “validar y evaluar el uso del descifrador”.

El hospital aún se está recuperando del ciberataque que, según dijo, retrasó los resultados de laboratorio y de imágenes, cortó las líneas telefónicas y cerró el sistema de nómina del personal.

Hasta el domingo, más del 60% de sus “sistemas prioritarios” se habían vuelto a poner en línea, muchos de los cuales habían contribuido a los retrasos en el diagnóstico y el tratamiento. Los esfuerzos de restauración estaban “progresando bien”, dijo el hospital.

Dijo que eliminó dos sitios web que operaba el viernes después de informar sobre una “actividad inusual potencial”, pero dijo que la actividad no parecía estar relacionada con el ataque cibernético.

El hospital continúa bajo un código gris (código hospitalario de falla del sistema) emitido el 18 de diciembre en respuesta al ataque cibernético.

Más difícil de descifrar

Aunque el Hospital for Sick Children de Toronto ha decidido utilizar un descifrador LockBit, los expertos dicen que el hospital aún enfrenta una serie de obstáculos.

Los grupos de ransomware son buenos codificando archivos, dijo Chester Wisniewski, investigador principal de la firma de seguridad cibernética Sophos, con sede en Vancouver. “No son tan buenos para descifrarlos”, afirmó.

Las organizaciones de atención médica que usan el descifrador de un grupo de ransomware, porque pagaron un rescate o no, recuperan en promedio alrededor de dos tercios de sus archivos, dijo Wisniewski, citando una encuesta de Sophos de cientos de organizaciones. El trabajo de descifrado, costoso y que requiere mucho tiempo, también se deja en manos de la propia organización, sin mencionar el costo de contratar expertos externos para revisar, investigar y reconstruir después del ataque.

Y luego está el problema del socio de LockBit, agregó Callow.

Según los expertos, LockBit funciona como un esquema de marketing criminal de varias capas, alquilando su malware a piratas informáticos afiliados a cambio de una parte de cualquier rescate que extorsionen.

La declaración de LockBit dice que el socio que atacó al Centro Hospitalario de Toronto ya no forma parte de su programa, pero no está claro si ese socio todavía tiene algún archivo que pueda haber sido robado en el ataque, dijo LockBit. dijo el Sr. Callow.

“Esos datos ahora podrían estar en manos de alguien que está bastante enojado porque no pudo monetizar este ataque en particular”, explicó.

El Hospital for Sick Children en Toronto dice que “no hay evidencia hasta la fecha” de que alguna información personal haya sido comprometida, pero los expertos dicen que están tratando tales afirmaciones con cierto escepticismo hasta que se complete una investigación completa.

Mientras tanto, la disculpa de LockBit parece ser una forma de manejar su imagen, cree Wisniewski.

El grupo compite con otros destacados operadores de malware que también intentan atraer a los piratas informáticos para que utilicen su sistema para llevar a cabo lucrativos ataques cibernéticos, dijo. Los piratas informáticos parecen cambiar de operador con frecuencia.

Sugirió que la decisión podría estar dirigida a los socios que podrían ver el ataque a un hospital infantil como un paso demasiado lejos.

“Mi intuición sería que esto está más dirigido a los afiliados criminales, tratando de no desanimarlos para que se muden a otro grupo de ransomware”, dijo Wisniewski.

Aumento de los ciberataques durante la pandemia

El Centro Canadiense para la Seguridad Cibernética dijo que si bien está al tanto del reciente incidente de seguridad cibernética con el Hospital for Sick Children en Toronto, no comenta sobre eventos específicos.

Un portavoz del centro, que depende del Establecimiento Federal de Seguridad de las Comunicaciones, dijo en el comunicado que los incidentes de seguridad cibernética siguen siendo una amenaza persistente para el gobierno canadiense y las organizaciones no gubernamentales, así como para la infraestructura crítica.

“En general, el Centro de Seguridad Cibernética ha notado un aumento en las amenazas cibernéticas durante la pandemia de COVID-19, incluida la amenaza de ataques de ransomware contra instalaciones de investigación médica y atención médica de primera línea en todo el mundo. país”, dijo Evan Koronewski.

Dijo que más de 400 organizaciones de atención médica en Canadá y Estados Unidos han sufrido un ataque de ransomware desde marzo de 2020.

“Los ciberdelincuentes generalmente lanzan una red amplia, normalmente no contra objetivos específicos, en busca de ganancias financieras”, dijo Koronnewski. Si bien la amenaza que representa el ransomware para las personas permanece, otros ciberdelincuentes han cambiado de táctica, dedicando más recursos para apuntar a objetivos más grandes y financieramente más lucrativos. »

LockBit estuvo involucrado en un ataque a un hospital en Francia el año pasado donde supuestamente exigió millones de dólares para restaurar la red, dijo Callow. El grupo también se ha relacionado con ataques de ransomware recientes dirigidos a la ciudad de St Mary’s, Ontario, y la ciudad de Westmount, Quebec, agregó.

Y en este caso, no se pueden pasar por alto los posibles impactos en la atención del paciente en un gran hospital pediátrico, argumentó Callow.

“Tratamiento retrasado, diagnósticos retrasados: el impacto de estos solo puede tener consecuencias semanas, meses o incluso años después del evento”, argumentó Callow.

Etiquetas: Ransomware LockBit grupo se disculpa Toronto hospital ataque

Tags: grupo LockBit disculpa por ataque hospital Toronto

NEXT El nuevo mundo tras el fin del dólar y el SWIFT