De hackers die afgelopen maand het Canadese Hospital for Sick Children aanvielen met ransomware, hebben spijt van hun actie. Uit berouw overhandigt LockBit de decryptiesleutel aan het ziekenhuis. De hackersgroep die verantwoordelijk is voor de cyberaanval maakt niet langer deel uit van het affiliate-programma.
Cybersecurityspecialist Dominic Alvieri ontdekte het bericht van LockBit op een forum op het dark web, het afgesloten deel van het internet voor het grote publiek.
LockBit biedt excuses aan voor cyberaanval
In het bericht biedt LockBit haar excuses aan voor de ransomware-aanval op het Canadese ziekenhuis, die half december vorig jaar plaatsvond. Daarbij werd een groot deel van de interne systemen platgelegd door een hackersgroep. IT-medewerkers deden hun uiterste best om het netwerk weer aan de praat te krijgen. Eind december was de helft van de systemen weer hersteld. Hoewel de herstelwerkzaamheden sneller gingen dan verwacht, kon het kinderziekenhuis niet zeggen wanneer het weer volledig operationeel zou zijn.
Het herstelproces komt nu wellicht in een stroomversnelling terecht. LockBit heeft de decoderingssleutel overhandigd aan de zorginstelling. Met deze sleutel kunnen alle bestanden die vergrendeld waren weer hersteld worden. Daar hoefde het ziekenhuis geen losgeld voor te betalen. De ontwikkelaars van de ransomware zeggen de situatie te betreuren.
“We bieden formeel onze excuses aan voor de aanval op het Hospital for Sick Children en overhandigen kosteloos de decryptiesleutel. De partner die het ziekenhuis aanviel overtrad onze regels en maakt daarom niet langer deel uit van ons affiliate-programma”, aldus LockBit.
Dit moet je weten over Ransomware-as-a-Service
LockBit is wat we noemen Ransomware-as-a-Service (RaaS). Dat is een verdienmodel waarbij technisch onderlegde hackers gijzelsoftware ontwikkelen. In plaats van deze software zelf te gebruiken om losgeld los te peuteren bij slachtoffers, mogen andere hackersgroepen deze gebruiken. Deze partij wordt ook wel een affiliate genoemd. In ruil voor het gebruik van de gijzelsoftware, moet de hackersgroep die de ransomware ‘leent’ een deel van de opbrengst afdragen aan de ontwikkelaars. In praktijk gaat het meestal om 30 tot 40 procent.
Dat betekent niet dat affiliates hun gang kunnen gaan als ze een licentie voor het gebruik van deze specifieke ransomware afnemen. De ontwikkelaars van de gijzelsoftware hanteren steeds vaker regels voor het gebruik van hun software. Een veelvoorkomende regel is dat zorginstellingen, scholen en maatschappelijke organisaties niet mogen worden aangevallen. Het lijkt erop dat LockBit deze regel handhaaft.
Servers REvil offline na cyberaanval op Amerikaanse aardoliemaatschappij
De Russische hackersgroep DarkSide ging in 2021 de fout in door miljoenen dollars aan losgeld te vragen van Colonial Pipeline. Door de aanval kwam de distributie van aardolie voor de Amerikaanse oostkust in gevaar. Dat had op zijn beurt een flinke maatschappelijke impact. Daarom besloot REvil, de ontwikkelaar van de ransomware, om de servers van DarkSide uit de lucht te halen.
“We richten ons alleen op grote en winstgevende bedrijven. We vinden het eerlijk dat een deel van het geld dat zij betaald hebben naar goededoelenorganisaties gaat. Ongeacht hoe je over ons werk denkt, we zijn verheugd dat onze inspanning het leven van een ander heeft beïnvloed”, zo zei REvil in een persverklaring over het incident.
Update (9 januari 2023): zo’n 80 procent van alle computersystemen werkt weer naar behoren. De meeste systemen die aan het elektronisch patiëntendossier zijn gekoppeld, zijn inmiddels weer beschikbaar. Het Information Management Technology (IMT) team doet er alles aan om de resterende interne computers en systemen samen met externe deskundigen te herstellen.
In een update laat het Canadese kinderziekenhuis weten geen gebruik te maken van de decoderingssleutel die de zorginstelling van de hackers kreeg. Verder zijn er geen aanwijzingen dat er persoonlijke gegevens of medische informatie is gestolen door de aanvallers.
Nimira Dhalwani, Chief Technology Officer (CTO) bij SickKids, zegt in een reactie dat ransomware-aanvallen steeds geavanceerder zijn en vaker worden gelanceerd tegen de gezondheidssector. “We weten dat degenen die achter deze aanvallen zitten altijd nieuwe manieren proberen te vinden om langs digitale afweermiddelen te komen. Onze cybersecuritymaatregelen voldoen aan hoge normen. We zijn ervan overtuigd dat we met onze veiligheidsmaatregelen en processen snel kunnen reageren om de gevolgen voor de ziekenhuisactiviteiten te beperken.”
