Hôpital pour enfants au Canada : le coup de com’ de LockBit 3.0

Surprise, le 31 décembre au soir, repérée par Dominic Alvieri : LockBit 3.0 a publié un outil de déchiffrement pour les systèmes de l’hôpital pour enfants canadien SickKids. Et d’aller jusqu’à présenter ses excuses pour cette cyberattaque tout en indiquant s’être séparé de la personne l’ayant conduite. Mais voilà, cette décision ressemble bien plus à un coup de communication qu’à la démonstration d’une réelle mansuétude. Car son impact potentiel sur la reprise d’une activité normale de l’hôpital n’a guère de chances d’être significatif.

Le déclenchement du ransomware et la découverte de la cyberattaque sont survenus le 18 décembre. Au moment où les opérateurs de la franchise LockBit 3.0 fournissent gracieusement l’outil de déchiffrement, le 31 décembre, près de deux semaines se sont déjà écoulées.

Pendant ce temps-là, les équipes de SickKids ne sont pas restées les bras croisés à attendre une éventuelle manifestation de bonne volonté des cybercriminels : le 29 décembre, l’hôpital indique avoir déjà réussi à restaurer et relancer « près de 50 % des systèmes prioritaires ». Probablement un environnement virtualisé : l’outil de déchiffrement fourni par l’opérateur de LockBit 3.0 ne fonctionne que pour les hôtes VMware ESXi ; aucun outil de déchiffrement n’a été fourni pour des systèmes Windows.

Prudent, SickKids ne dit pas ignorer l’outil proposé par les cybercriminels, mais « évaluer » la pertinence de son utilisation alors que « les efforts de restauration progressent bien ». L’approche apparaît d’autant plus judicieuse que les outils de déchiffrement des rançongiciels sont généralement artisanaux et n’aident finalement que peu à accélérer la relance du système d’information.

En somme, les opérateurs de la LockBit 3.0 ont fourni l’outil de déchiffrement à l’hôpital alors que ce dernier n’en a plus vraiment d’utilité et a manifestement décidé de ne pas céder au chantage. De quoi essayer de tirer profit d’un échec pour renflouer son capital sympathie à défaut de ses comptes en bitcoin.

Une façon – peut-être – d’essayer de faire oublier la cyberattaque contre le Centre Hospitalier Sud-Francilien – fin août dernier – à l’occasion de laquelle tant les opérateurs de la franchise que l’affidé impliqué s’étaient bien gardés de montrer la moindre compassion.