Le collectif russophone LockBit a aussi fourni une clé de déchiffrement à l’hôpital SickKids de Toronto, affirmant que l’un de ses partenaires est responsable de la cyberattaque ayant visé l’établissement en décembre.
Même les cybercriminels ont des règles à respecter. Le 18 décembre, l’hôpital pour enfants de Toronto (SickKids) a été victime d’une attaque par rançongiciel qui a touché des systèmes internes et corporatifs, certaines lignes téléphoniques et son site Web. Cet incident a entraîné des retards dans la réception des résultats de laboratoire et d’imagerie et donc, des temps d’attente de diagnostic et de traitement plus longs pour les patients et leurs familles.
Deux semaines après, le groupe de hackers Lockbit – notamment connu pour l’attaque contre l’hôpital Sud Francilien cet été – a présenté ses excuses. « Nous nous excusons formellement pour l’attaque contre sickkids.ca et donnons le décrypteur gratuitement, le partenaire qui a attaqué cet hôpital a violé nos règles, est bloqué et ne fait plus partie de notre programme d’affiliation », a écrit le collectif sur son site le 31 décembre.
Des règles à suivre pour les cyberattaques
Le collectif russophone fonctionne en effet comme une entreprise de location de rançongiciels, faisant payer une commission sur les revenus liés aux rançons à ses utilisateurs, comme l’indique BleepingComputer. Concrètement, les administrateurs de Lockbit perçoivent environ 20% de chaque paiement de rançon réalisé, le reste revenant au partenaire. Le groupe de pirates dispose de règles que ces affiliés doivent suivre. S’ils peuvent s’en prendre à des sociétés pharmaceutiques, des dentistes ou des chirurgiens plasticiens, « il est interdit de chiffrer les institutions où les dommages aux fichiers pourraient entraîner la mort », indique Lockbit dans ses politiques.
Autrement dit, il n’est pas permis de cibler « les centres de cardiologie, les services de neurochirurgie, les maternités et autres, c’est-à-dire les institutions où des interventions chirurgicales sur des équipements de haute technologie utilisant des ordinateurs peuvent être effectuées ». Raison pour laquelle le partenaire à l’origine de l’attaque contre l’hôpital SickKids ne fait plus partie du programme d’affiliation de Lockbit. Pourtant, la cyberattaque contre le Centre hospitalier Sud Francilien en août a obligé l’établissement à orienter les patients vers d’autres établissements et à reporter des interventions chirurgicales, ce qui aurait pu entraîner des risques importants pour ces derniers.
L’hôpital SickKids a confirmé avoir reçu la clé de déchiffrement du collectif. « Nous avons engagé nos experts tiers pour valider et évaluer l’utilisation du décrypteur », a-t-il déclaré dans un communiqué publié le 1er janvier, affirmant avoir restauré 60% de ses systèmes prioritaires.