LockBit ランサムウェア ギャングは、病気の子供のための病院 (SickKids) の無料の解読ツールをリリースし、そのメンバーの 1 人が医療組織を攻撃して規則に違反したと述べています。
SickKids は、トロントにある教育研究病院で、病気の子供たちに医療を提供することに重点を置いています。
12 月 18 日、病院はランサムウェア攻撃を受け、内部および企業システム、病院の電話回線、および Web サイトに影響を与えました。
攻撃によって暗号化されたシステムはごくわずかでしたが、SickKids は、このインシデントにより検査結果と画像結果の受信が遅れ、患者の待ち時間が長くなったと述べています。
12 月 29 日、SickKids は、診断や治療の遅れの原因となっているシステムを含め、優先度の高いシステムの 50% を復旧したと発表しました。
LockBitギャングが攻撃について謝罪
脅威インテリジェンス研究者の Dominic Alvieri が最初に指摘したように、SickKids の最新の発表から 2 日後、LockBit ランサムウェア ギャングは病院への攻撃について謝罪し、復号化ツールを無料でリリースしました。
「sikkids.ca への攻撃について正式に謝罪し、デクリプターを無料で返します。この病院を攻撃したパートナーは、当社の規則に違反し、ブロックされ、当社のアフィリエイト プログラムには参加していません」と、ランサムウェア ギャングは述べています。
は、このファイルが無料で入手できることを確認しており、Linux/VMware ESXi デクリプタであると主張しています。追加の Windows デクリプタがないため、攻撃者は病院のネットワーク上の仮想マシンのみを暗号化できたことを示しています。
ソース:
LockBit オペレーションは、Ransomware-as-a-Service として実行され、オペレーターが暗号化ツールと Web サイトを維持し、オペレーションのアフィリエイト (メンバー) が被害者のネットワークに侵入し、データを盗み、デバイスを暗号化します。
この取り決めの一環として、LockBit オペレーターはすべての身代金支払いの約 20% を保持し、残りはアフィリエイトに送られます。
ランサムウェアの運用により、アフィリエイトは製薬会社、歯科医、形成外科医を暗号化できますが、アフィリエイトが攻撃によって死に至る可能性のある「医療機関」を暗号化することは禁止されています。
「心臓病センター、神経外科部門、産科病院など、ファイルへの損傷が死に至る可能性がある機関、つまり、コンピューターを使用したハイテク機器での外科的処置が行われる可能性がある機関を暗号化することは禁止されています。 」では、ランサムウェア オペレーションのポリシーについて説明します。
ポリシーにより、医療機関からのデータの盗用は許可されています。
ランサムウェア ギャングによると、関連会社の 1 つが病院のデバイスを暗号化したため、それらは操作から除外され、復号化ツールが無料で提供されました。
しかし、これは LockBit が復号化ツールをすぐに提供しなかった理由を説明するものではありません。患者のケアが影響を受け、SickKids が 18 日以降の操作を復元するために取り組んでいます。
さらに、LockBit は病院を暗号化し、暗号化装置を提供しなかった歴史があり、フランスの Centre Hospitalier Sud Francilien (CHSF) に対する攻撃で見られたように、1,000 万ドルの身代金が要求され、 最終的に患者データが漏洩しました。
フランスの病院への攻撃は、患者を他の医療センターに紹介し、手術を延期することにつながり、患者に重大なリスクをもたらす可能性がありました.
は当時 LockBit に連絡を取り、ポリシーに違反しているにも関わらず CHSF に身代金を要求している理由を理解しましたが、応答はありませんでした。
コメント