Desde luego que esto es una noticia de esas que ocurren pocas veces en la vida. Y es que, a raíz de un ataque contra el Hospital para Niños Enfermos (SickKids), la banda de hackers LockBit ha pedido disculpas formalmente y ha lanzado un descifrador gratuito para el hospital.

Durante el ataque, el actor de la amenaza consiguió inutilizar en gran parte los sistemas corporativos, las líneas telefónicas del hospital y el sitio web. Como resultado, el hospital ha tenido problemas para recibir los resultados de los análisis de laboratorio y de imagen, y los pacientes han tenido que esperar más tiempo para recibir los resultados de sus pruebas. 

Aunque el ataque sólo se centró en cifrar algunos sistemas, SickKids declaró que el daño había sido bastante grave, aunque anunció que se había conseguido restablecer el 50 % de sus sistemas, incluidos los que causaban retrasos en el diagnóstico o el tratamiento.

Sin embargo, aquí viene lo sorprendente, y es que, dos días después, la banda de ransomware LockBit se disculpó por el ataque y lanzó un descifrador gratuito. "Nos disculpamos formalmente por el ataque a sikkids.ca y devolvemos el descifrador de forma gratuita, el socio que atacó este hospital violó nuestras reglas, está bloqueado y ya no está en nuestro programa de afiliados", dijo el grupo. 

Estos han sido los ataques de día cero más peligrosos de 2022

El hospital también dijo que está al tanto de la oferta de descifrado gratuito de LockBit. "Hemos contratado a nuestros expertos de terceros para validar y evaluar el uso del descifrador", explican. "SickKids no ha realizado ningún pago por el ransomware", añadió el hospital.

El descifrador parece ser uno de Linux/VMware ESXi, según explica BleepingComputer, lo que sugiere que el ataque iba dirigido únicamente a máquinas virtuales.

En pocas palabras, el ransomware, es un tipo de malware que cifra los datos de la víctima hasta que se realiza un pago al atacante. Si se realiza el pago, la víctima recibe una clave de descifrado para restaurar el acceso a sus archivos. 

Si no se paga el rescate, el actor de la amenaza publica los datos en sitios de fuga de datos (DLS) o bloquea el acceso a los archivo. El ransomware sigue siendo una de las tácticas más rentables para los ciberdelincuentes, aunque parece que estos han decidido dar marcha atrás.

¿Qué es la Ingeniería Social y en qué consisten estos ataques?

Así es como funciona LockBit, uno de los grupos de hackers más activos actualmente

La banda LockBit existe desde 2019, desplegando su malware contra objetivos de alto perfil en todo tipo de países. Según los fiscales estadounidenses, esta cepa de ransomware se ha desplegado contra más de 1.000 organizaciones, y los miembros de la banda han extraído millones de dólares en pagos de rescates.

Pues bien, LockBit es uno de los grupos de ransomware más activos en la actualidad, y sus tácticas y tecnologías suponen diversas amenazas para las organizaciones de cualquier sector. 

5 cursos online de seguridad informática que te abrirán nuevas oportunidades de trabajo

Por ejemplo, el ransomware LockBit ha estado causando muchos problemas tanto a empresas como a particulares, con objetivos como el Departamento de Defensa de Estados Unidos, la OTAN, Coca-Cola, WPP Group PLC e incluso la Organización Mundial de la Salud en 2018. 

Además, LockBit tiene un historial amplio de ataques a hospitales sin proporcionar descifradores, como se vio en su ataque contra el Center Hospitalier Sud Francilien (CHSF) en Francia, donde se exigió un rescate de 10 millones de dólares y finalmente se filtraron datos de pacientes. Sin embargo, parece que el hecho de que sean niños les ha tocado el corazón.

5 pendrives para guardar copias de seguridad de WhatsApp y todos tus archivos del móvil

Los ataques del ransomware LockBit son autopropagables, lo que significa que pueden causar graves daños a una organización por sí solos. No necesitan ser dirigidos por un individuo para propagarse como si no hubiese un mañana.

La programación detrás de LockBit también es diferente de la mayoría de los ataques de ransomware, ya que está dirigida por procesos automatizados prediseñados, lo que lo hace único.

Además, emplea herramientas maliciosas nativas de la mayoría de los ordenadores Windows. Como resultado, tiene dificultades para detectar actividades sospechosas e incluso disfraza el ejecutable con la extensión de archivo común .PNG para eludir las defensas del sistema.

Sabiendo todo esto, queda claro que aunque los ciberdelincuentes no tienen escrúpulos en su búsqueda de beneficios económicos, algunos evitan determinados sectores, entre ellos la sanidad y las infraestructuras críticas. Aunque pueda parecer que lo hacen de corazón, lo más probable es que estén evitando ganarse una mala reputación social y el enfado de las fuerzas de seguridad.