LockBit が謝罪:ポリシー違反のアフィリエイトが医療機関 SickKids を攻撃した件について

Lockbit apologized for the attack on the SickKids pediatric hospital and releases a free decryptor

2023/01/01 SecurityAffairs — ランサムウェア・グループ LockBit は、Hospital for Sick Children (SickKids) への攻撃について正式に謝罪し、同病院向けの復号器を無償で公開した。このグループはアフィリエイターたちに対して、医療機関への攻撃を禁止している。つまり、サイバー攻撃の被害が個人の死につながる可能性がある場合には、対象となる組織のシステムの暗号化を禁じるというポリシーを持っている。そのアフィリエイトの1つが、この規則に違反して SickKids を攻撃したことで、ブロックされたと、LockBit は述べている。

LockBit が Tor リークサイトに公開したメッセージには、「我々は正式に sikkids.ca への攻撃を謝罪し、無償で復号器を提供する。この病院を攻撃したパートナーは、当社の規則に違反してブロックされた」と記されている。

公開された復号器は Linux/VMware ESXi の復号器であると、同グループが主張していることを、BleepingComputer は確認している。トロントの Hospital for Sick Children に対する攻撃は、2022年12月18日に行われた。同病院はカナダ最大の小児医療センターで、カナダのオンタリオ州トロントの University Avenue にある。この攻撃は、院内の複数のネットワーク・システムに影響を与えたが、同病院によると、患者の治療には影響がなかったとのことだ。

病院が発表したインシデント通知には、「現時点において、Hospital for Sick Children (SickKids) は注意喚起を発動し、複数のネットワーク・システムに影響を与えるサイバー・セキュリティ・インシデントに対応している。それは、12月18日 (日) 午後9時30分に発効され、現在も継続中だ。当院の患者とその家族の安全と幸福は、当院の最優先事項だ。すべての患者の治療は継続されており、現在のところ、個人情報/個人健康情報が影響を受けたという証拠はない」と記されている。同病院は、ランサムウェア攻撃を封じ込めるのに数日を要した。

12月29日に SickKids が発表した最新情報は、「12月18日のサイバー・セキュリティ・インシデントの影響を受けた、複数のシステムの復旧に成功した。12月29日現在、診断や治療の関連するシステムの多くを含めて、優先システムの約 50%が復旧し、オンラインに戻っている。すべてのシステムをオンラインに戻す作業が続いているため、潜在的な遅れが生じる可能性について、患者と家族は了解してほしい」というものだ。

12月23日に同病院は、IT インフラの完全復旧に数週間かかることを明らかにしている。

LockBit の関連組織は、過去にも医療機関を襲ったことがある。12月上旬には、Hospital Centre of Versailles が、同グループの仕業とされるサイバー攻撃に遭っている。Andre-Mignot Hospital/Richaud Hospital/Despagne Retirement Home などを含むHospital Centre of Versailles は、このサイバー攻撃により業務をキャンセルし、一部の患者を移送した。

2022年8月には、パリ南東部の病院 Center Hospitalier Sud Francilien (CHSF) がサイバー攻撃に遭っている。この攻撃により、救急サービスや手術が中断され、病院は患者を他の組織へ紹介せざるを得なくなった。地元メディアによると、そのときの脅威アクターは、暗号化されたデータを復元するための復号化キーに関して、$10 million の身代金を要求していたという。

このようなポリシーが、LockBit が持っていることを知りませんでした。2022年21月31日の「医療機関へのランサムウェア攻撃:米国の 4200万人分の情報がダークウェブへ」には、その惨憺たる状況が記されていますが、LockBit がアフィリエイトたちに攻撃を許していたら、さらに酷い結果になったと思われます。よろしければ、カテゴリ Healthcare も、ご参照ください。

%d bloggers like this: