El pasado 18 de diciembre, el grupo de ransomware LockBit llevó a cabo un ciberataque contra el hospital infantil SickKids de Toronto, en Canadá. El ataque encriptó los sistemas internos y corporativos, lo que retrasó diagnósticos y tratamientos de niños ingresados.

Si bien este ataque cifró solo algunos sistemas, desde SickKids apuntan que el incidente provocó retrasos en la recepción de resultados del laboratorio e imágenes y tiempos de espera más prolongados para los pacientes.

Once días después, el 29 de diciembre, el hospital había restaurado el 50% de sus sistemas prioritarios, incluidos los que causaban retrasos en el diagnóstico o el tratamiento. Sin embargo, en ese momento aún no podían saber con exactitud cuándo podrían restablecer completamente los sistemas.

El 31 de diciembre, el grupo LockBit publicó un comunicado en el que se disculpaba por el ataque perpetrado contra el hospital y lanzó un descifrador de forma gratuita para poder restablecer los sistemas.

«Nos disculpamos oficialmente por el ataque a sikkids.ca y devolvemos el descifrador de forma gratuita. El partner que atacó este hospital violó nuestras reglas, está bloqueado y ya no está en nuestro programa de afiliados», han señalado en el comunicado.

La política de LockBit con sus afiliados

El archivo está disponible de forma gratuita y se trata de un descifrador de Linux/VMware ESXi. Al no haber un descifrador de Windows adicional, el atacante solo podría cifrar máquinas virtuales en la red del hospital.

LockBit se ejecuta como un Ransomware-as-a-Service (RaaS), en el que los operadores mantienen los encriptadores y los sitios web, y los afiliados, violan las redes de las víctimas, roban datos y encriptan dispositivos.

Como parte de este acuerdo, los operadores de LockBit se quedan con aproximadamente el 20% del pago del rescate y el resto es para el afiliado.

Si bien la operación de ransomware permite a sus afiliados encriptar compañías farmacéuticas, dentistas y cirujanos plásticos, pero les prohíbe encriptar «instituciones médicas» en las que un ataque podría causar la muerte de pacientes.

lockbit comunicado perdón ciberataque hospital infantil descifrador noticia bit life media
Disculpa de LockBit a SickKids en su blog. Fuente: BleepingComputer

De acuerdo con las políticas del grupo «está prohibido encriptar instituciones en las que el daño a los archivos pueda causar la muerte, tales como centros de cardiología, departamentos de neurocirugía, maternidades y similares. Es decir, aquellas instituciones donde se puedan realizar procedimientos quirúrgicos en equipos de alta tecnología usando ordenadores», apunta la política de LockBit.

Sin embargo, el robo de datos de cualquier institución médica está permitido según las políticas.

Según el grupo, como uno de sus afiliados cifró los dispositivos del hospital, se retiraron de la operación y se ofreció un descifrador de forma gratuita. No obstante, esto no explica por qué LockBit no proporcionó un descifrador antes, ya que la atención al paciente se vio afectada y los técnicos de SickKids trabajaron para restaurar las operaciones desde el día 18.

Las consecuencias del ransomware en el sector sanitario

LockBit tiene un amplio historial en lo que se refiere a cifrar hospitales y no proporcionar cifrados. Así quedó constatado en el ataque contra el Centre Hospitalier Sud Francilien (CHSF), en Francia, al que le exigieron un rescate de 10 millones de dólares y finalmente se filtraron los datos de los pacientes.

El ataque al hospital francés provocó la derivación de pacientes a otros centros médicos y el aplazamiento de cirugías, lo que podría haber supuesto un riesgo significativo para los pacientes.

Esta no es la primera vez que una pandilla de ransomware proporciona un descifrador gratuito a una organización de atención médica. En mayo de 2021, el grupo Conti proporcionó un descifrador gratuito al servicio nacional de salud de Irlanda, el HSE, después de hacer frente a una fuerte presión por parte de las fuerzas del orden internacionales.

El pasado 1 de enero, desde SickKids confirmaron que conocían el comunicado de LockBit y que habían contratado a expertos externos para validar y evaluar el uso del descifrador. Hasta esa fecha, los profesionales del centro hospitalario habían recuperado algo más del 60% de los sistemas principales. Además, no han encontrado indicios de que se haya accedido a datos personales o referentes a la salud de los pacientes.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre