Ransomwaregroep geeft gehackt kinderziekenhuis gratis decryptietool

De ‘partner’ die het ziekenhuis heeft gehackt zou zich niet aan regels van LockBit hebben gehouden met deze aanval. Dat meldt BleepingComputer.

Het kinderziekenhuis in Toronto werd op 18 december geraakt door een ransomware-aanval. Daarbij werden onder meer de interne medische systemen, de administratieve systemen, de telefoon en de website geraakt. Dat leidde onder meer tot vertragingen bij het doorsturen van labuitslagen en andere onderzoeksresultaten, waardoor de wachttijden voor patiëntjes langer werden dan normaal.

De ransomware die is gebruikt bij deze aanval, is een product van de LockBit-groep, die dit als Ransomware-as-a-Service aanbiedt. De afnemers van de ransomware, aangeduid als ‘partners, kiezen hun eigen slachtoffers hierbij. Daarvoor krijgt LockBit 20% van de opbrengst. De ransomwareleverancier blijkt echter duidelijke regels te hebben voor de keuze van mogelijke doelwitten in de medische sector. Zo zijn aanvallen op medische organisaties die tot dodelijke slachtoffers kunnen leiden, verboden. Het is wel toegestaan om farmaceutische bedrijven aan te vallen, tandartsen en plastische chirurgen.

De LockBit-groep heeft zijn excuses gemaakt voor de aanval en een decryptietool gratis aangeboden. Ook meldt de groep dat de betreffende partner die de aanval heeft gedaan, uit het partnerprogramma is verwijderd.

De tool is een Linux/VMware ESXi-sleutel. Een Windows-decryptietool ontbreekt. Dat zou er op kunnen wijzen dat de aanvaller alleen virtuele machines van het ziekenhuisnetwerk kon versleutelen.

Herstelwerkzaamheden

Ziekenhuis SickKids heeft gisteren laten weten dat het de decryptietool nu onderzoekt en dat de herstelwerkzaamheden sowieso goed verlopen. Sinds gisteren is 60% van de belangrijkste medische systemen weer in de lucht. Het ziekenhuis benadrukt dat het géén losgeld heeft betaald.

Ransomwaregroepen gaven eerder al gratis decryptietools aan gehackte ziekenhuizen. Zo gaf de Conti-groep een sleutel na een aanval die de Ierse Health Services Executive zwaar had geraakt. En in 2020 stuurde de DoppelPayer-groep een sleutel aan het academische ziekenhuis in Düsseldorf.