LockBit fidye yazılımı çetesi, üyelerinden birinin sağlık kuruluşuna saldırarak kuralları ihlal ettiğini söyleyerek Hospital for Sick Children (SickKids) için ücretsiz bir şifre çözücü yayınladı.
SickKids, Toronto’da hasta çocuklara sağlık hizmeti sunmaya odaklanan bir eğitim ve araştırma hastanesidir.
18 Aralık’ta hastane, dahili ve kurumsal sistemleri, hastane telefon hatlarını ve web sitesini etkileyen bir fidye yazılımı saldırısına maruz kaldı.
Saldırı sadece birkaç sistemi şifrelerken SickKids, olayın laboratuvar ve görüntüleme sonuçlarının alınmasında gecikmelere neden olduğunu ve daha uzun hasta bekleme sürelerine neden olduğunu belirtti.
29 Aralık’ta SickKids, teşhis veya tedavi gecikmelerine neden olanlar da dahil olmak üzere öncelikli sistemlerinin %50’sini geri yüklediğini duyurdu.
LockBit çetesi saldırı için özür diledi
Olarak ilk not edilen LockBit fidye yazılımı çetesi, SickKids’in son duyurusundan iki gün sonra tehdit istihbaratı araştırmacısı Dominic Alvieri tarafından hastaneye yapılan saldırı için özür diledi ve şifre çözücüyü ücretsiz olarak yayınladı.
Fidye yazılımı çetesi, “Sikkids.ca’ya yapılan saldırı için resmi olarak özür diliyoruz ve şifre çözücüyü ücretsiz olarak geri veriyoruz, bu hastaneye saldıran ortak kurallarımızı ihlal etti, engellendi ve artık ortaklık programımızda değil” dedi.
BleepingComputer, bu dosyanın ücretsiz olarak sunulduğunu onayladı ve bir Linux/VMware ESXi şifre çözücü olduğunu iddia ediyor. Ek bir Windows şifre çözücü olmadığı için, saldırganın yalnızca hastane ağındaki sanal makineleri şifreleyebileceğini gösterir.
LockBit operasyonu, operatörlerin şifreleyicileri ve web sitelerini ve operasyonun bağlı kuruluşlarını veya üyelerini koruduğu, kurbanların ağlarını ihlal ettiği, verileri çaldığı ve cihazları şifrelediği bir Hizmet Olarak Fidye Yazılımı olarak çalışır.
Bu düzenlemenin bir parçası olarak, LockBit operatörleri tüm fidye ödemelerinin yaklaşık %20’sini tutar ve geri kalanı bağlı kuruluşa gider.
Fidye yazılımı operasyonu, bağlı kuruluşlarının ilaç şirketlerini, diş hekimlerini ve plastik cerrahları şifrelemesine izin verirken, bağlı kuruluşlarının, saldırıların ölüme yol açabileceği “tıbbi kurumları” şifrelemesini yasaklar.
“Kardiyoloji merkezleri, nöroşirurji bölümleri, doğum hastaneleri ve benzeri dosyalara zarar verilmesinin ölümle sonuçlanabileceği, yani bilgisayar kullanılarak ileri teknoloji ekipmanlarla cerrahi işlemlerin yapılabileceği kurumların şifrelenmesi yasaktır. ” fidye yazılımı operasyonunun politikalarını açıklar.
Herhangi bir tıbbi kurumdan veri çalınmasına politikalar uyarınca izin verilir.
Fidye yazılımı çetesine göre, bağlı kuruluşlarından biri hastanenin cihazlarını şifrelediği için operasyondan çıkarıldı ve şifre çözücü ücretsiz olarak sunuldu.
Ancak bu, hasta bakımının etkilenmesi ve SickKids’in 18’inden bu yana operasyonları geri yüklemek için çalışması nedeniyle LockBit’in neden daha önce bir şifre çözücü sağlamadığını açıklamıyor.
Ayrıca LockBit’in, Fransa’daki Centre Hospitalier Sud Francilien’e (CHSF) karşı 10 milyon dolarlık fidye talep edilen ve sonunda hasta verilerinin sızdırıldığı saldırıda görüldüğü gibi, hastaneleri şifreleme ve şifreleyici sağlamama geçmişi vardır.
Fransız hastanesine yapılan saldırı, hastaların başka tıp merkezlerine sevk edilmesine ve ameliyatların ertelenmesine yol açtı, bu da hastalar için önemli risklere yol açabilirdi.
BleepingComputer, politikalara aykırı olmasına rağmen neden CHSF’den fidye talep ettiklerini anlamak için o sırada LockBit ile iletişime geçmiş, ancak hiçbir yanıt alamamıştı.