Le groupe de rançongiciels LockBit s'excuse pour l'attaque dans un hôpital de Toronto

TORONTO — Un opérateur mondial de rançongiciels a présenté des excuses et a proposé de déverrouiller les données ciblées lors d'une attaque de rançongiciel contre l’Hôpital pour enfants malades de Toronto, une décision rare selon des experts en cybersécurité, voire sans précédent pour le groupe tristement célèbre.

LockBit, un groupe de rançongiciels que la police fédérale américaine, le FBI, a qualifié de l'un des plus actifs et des plus destructeurs au monde, a présenté de brèves excuses le 31 décembre sur ce que des experts en cybersécurité considèrent comme la page du web invisible où il publie ses rançons et fuites de données.

Dans la déclaration, examinée par La Presse Canadienne, LockBit a affirmé avoir bloqué le «partenaire» responsable de l'attaque et a offert à l’Hôpital pour enfants malades de Toronto un décrypteur gratuit pour déverrouiller ses données.

«Pour autant que je sache, c'est la première fois qu'ils présentent des excuses et proposent de remettre un décrypteur gratuit», a déclaré Brett Callow, analyste des menaces pour la société anti-logiciels malveillants Emsisoft, qui suit les attaques de rançongiciels, basée en Colombie-Britannique. 

LockBit a été lié à de récentes cyberattaques contre des municipalités de l'Ontario et du Québec, selon des experts, et un citoyen russo-canadien vivant à Brantford, en Ontario, a été arrêté en octobre pour sa participation présumée au groupe.

Des responsables américaines affirment que le groupe a demandé au moins cent millions de dollars de rançons et a soutiré des dizaines de millions aux victimes. 

«Ils sont l'un des groupes, sinon le plus actif», a soutenu Brett Callow.

«Ces attaques peuvent parfois provenir de beaucoup plus près de chez nous que nous ne le pensons. Nous pensons que les attaques viennent de Russie ou de pays de la [Communauté des États indépendants], alors que dans certains cas, elles pourraient provenir de notre propre frontière», a déclaré M. Callow.

L’Hôpital pour enfants malades de Toronto a reconnu dimanche qu'il était au courant de la déclaration et a indiqué qu'il consultait des experts pour «valider et évaluer l'utilisation du décrypteur».

L'hôpital se remet toujours de la cyberattaque qui, selon lui, a retardé les résultats de laboratoire et d'imagerie, coupé les lignes téléphoniques et fermé le système de paie du personnel.

Dimanche, plus de 60% de ses «systèmes prioritaires» avaient été remis en ligne, dont beaucoup avaient contribué aux retards de diagnostic et de traitement. Les efforts de restauration «progressaient bien», a indiqué l'hôpital. 

Il avait déclaré avoir supprimé vendredi deux sites web qu'il exploitait après avoir signalé une «activité inhabituelle potentielle», tout en précisant que cette activité ne semblait pas liée à la cyberattaque.

L'hôpital continue d'être sous un code gris - code d'hôpital pour défaillance du système - émis le 18 décembre en réponse à la cyberattaque.

Plus difficile de déchiffrer

Même si l'Hôpital pour enfants malades de Toronto a décidé d'utiliser un décrypteur LockBit, des experts disent que l'hôpital est toujours confronté à un certain nombre d'obstacles.

Les groupes de rançongiciels sont doués pour brouiller les fichiers, a déclaré Chester Wisniewski, chercheur principal au sein de la société de cybersécurité Sophos, basée à Vancouver. «Ils ne sont pas si doués pour les déchiffrer», a-t-il affirmé. 

Les organisations de santé qui utilisent le décrypteur d'un groupe de rançongiciels, parce qu'elles ont payé une rançon ou autrement, récupèrent en moyenne environ les deux tiers de leurs fichiers, a précisé M. Wisniewski, citant une enquête de Sophos auprès de centaines d'organisations. Le travail long et coûteux de décryptage est également laissé à l'organisation elle-même, sans parler du coût de l'embauche d'experts tiers pour examiner, enquêter et reconstruire après le piratage.

Et puis il y a le problème du partenaire de LockBit, a ajouté M. Callow.

Selon des experts, LockBit fonctionne comme un système de marketing criminel à plusieurs niveaux, louant ses logiciels malveillants à des pirates informatiques affiliés en échange d'une part de toute rançon qu'ils extorquent. 

La déclaration de LockBit indique que le partenaire qui a attaqué le centre hospitalier de Toronto ne fait plus partie de son programme, mais il n'est pas clair si ce partenaire détient toujours des fichiers qui auraient pu être volés lors de l'attaque, a déclaré M. Callow.

«Ces données pourraient maintenant être entre les mains de quelqu'un qui est assez furieux de ne pas avoir pu monétiser cette attaque particulière», a-t-il expliqué. 

L'Hôpital pour enfants malades de Toronto dit qu'il n'y a «aucune preuve à ce jour» que des informations personnelles ont été compromises, mais des experts disent qu'ils traitent ces déclarations avec un certain scepticisme jusqu'à ce qu'une enquête complète soit terminée.

Les excuses de LockBit, quant à elles, semblent être un moyen de gérer son image, estime M. Wisniewski.

Le groupe est en concurrence avec d'autres opérateurs de logiciels malveillants de premier plan qui tentent également de courtiser les pirates informatiques pour qu'ils utilisent leur système pour mener des cyberattaques lucratives, a-t-il fait savoir. Les pirates semblent passer fréquemment d'un opérateur à l'autre. 

Il a suggéré que cette décision pourrait être dirigée vers les partenaires qui pourraient considérer l'attaque contre un hôpital pour enfants comme un pas trop loin.

«Mon instinct serait que cela vise davantage les affiliés criminels eux-mêmes essayant de ne pas les dégoûter de passer à un autre groupe de rançongiciels», a dit M. Wisniewski.

Hausse des cyberattaques pendant la pandémie

Le Centre canadien pour la cybersécurité a déclaré que bien qu'il soit au courant du récent incident de cybersécurité avec l'Hôpital pour enfants malades de Toronto, il ne commente pas des événements spécifiques.

Un porte-parole du centre, qui relève du Centre fédéral de la sécurité des télécommunications, a déclaré dans le communiqué que les incidents de cybersécurité demeurent une menace persistante pour le gouvernement canadien et les organisations non gouvernementales, ainsi que pour les infrastructures essentielles.

«D'une manière générale, le Centre pour la cybersécurité a remarqué une augmentation des cybermenaces pendant la pandémie de COVID-19, y compris la menace d'attaques de rançongiciels contre les établissements de soins de santé et de recherche médicale de première ligne du pays», a déclaré Evan Koronewski.

Il a déclaré que plus de 400 organisations de soins de santé au Canada et aux États-Unis ont subi une attaque de rançongiciel depuis mars 2020.

«Les cybercriminels jettent habituellement un large filet, normalement pas contre des cibles spécifiques, à la recherche d'un profit financier, a expliqué M. Koronewski. Alors que la menace que représentent les rançongiciels pour les individus demeure, d'autres cybercriminels ont changé de tactique, consacrant plus de ressources pour viser des cibles plus importantes et plus lucratives financièrement.»

LockBit a été impliqué dans une attaque contre un hôpital en France l'année dernière où il aurait demandé des millions de dollars pour restaurer le réseau, a fait savoir M. Callow. Le groupe a également été lié à de récentes attaques de rançongiciels ciblant la ville de St Mary's, en Ontario, et la ville de Westmount, au Québec, a-t-il ajouté.

Et dans ce cas, les impacts possibles sur les soins aux patients dans un grand hôpital pédiatrique ne peuvent être négligés, a fait valoir M. Callow.

«Traitement retardé, diagnostics retardés - l'impact de ceux-ci peut n'avoir des conséquences que des semaines, des mois, voire des années après l'événement», a soutenu M. Callow.

Jordan Omstead, La Presse Canadienne