Il ransomware LockBit attacca le infrastrutture portuali, rilascia un decryptor gratuito per l’ospedale pediatrico

LockBit è un'operazione "ransomware-as-a-service" in cui i creatori e gli operatori di malware gestiscono il back-end, mentre i "partner" affiliati violano le reti delle vittime. A volte, questa catena di operazioni può portare a uno scontro tra le parti, soprattutto quando gli affiliati vanno contro la politica aziendale formale del ransomware.

È stato un fine anno impegnativo per LockBit, la famigerata operazione di ransomware che offre le sue capacità di crittografia a script kiddie e altri complici interessati al crimine. Il ransomware è stato il primo responsabile di un attacco contro l’amministrazione del porto di Lisbona, che gestisce il terzo porto più grande del Portogallo e uno dei porti più accessibili d’Europa.

Il porto di Lisbona è stato preso di mira da LockBit il 25 dicembre, ma secondo l’amministrazione del porto nessuna attività operativa è stata compromessa. Tutte le misure di sicurezza progettate in risposta a questo tipo di eventi sono state rapidamente attivate, ha affermato l’organizzazione, mentre stava lavorando con le autorità competenti per ripristinare i sistemi interessati.

Il sito ufficiale del Porto di Lisbona, infatti, è ancora offline e LockBit ha già pubblicato una richiesta di riscatto sul proprio sito ufficiale all’interno della darknet Tor. I cyber-criminali chiedono un prezzo salato ($ 1.500.000) da pagare entro il 18 gennaio 2023, altrimenti pubblicheranno tutti i dati che sono riusciti a rubare dai server del porto.

La banda di LockBit afferma di aver messo le mani su rapporti finanziari, audit, budget, contratti, informazioni sul carico, registri delle navi, documentazione, messaggi di posta elettronica e altri preziosi dati aziendali o personali. Va benissimo crittografare, rubare e vendere alle parti interessate, perché il porto di Lisbona non è un ospedale pediatrico come la seconda vittima eccezionale che LockBit ha raccolto alla fine del 2022.

Il 18 dicembre, uno degli affiliati di LockBit ha attaccato l’Hospital for Sick Children (SickKids), un ospedale universitario canadese dedicato all’assistenza sanitaria infantile. L’attacco ha colpito i sistemi interni e aziendali, le linee telefoniche e il sito Web dell’ospedale. Mentre solo “pochi” sistemi sono stati compromessi, i pazienti hanno dovuto affrontare ritardi nei risultati degli esami e tempi di attesa più lunghi.

Secondo un aggiornamento successivo , il team di SickKids è stato in grado di ripristinare quasi il 50% dei sistemi prioritari dell’ospedale mentre altri erano ancora in corso. Tuttavia, alla vigilia di Capodanno, la banda LockBit ha pubblicato una nota per “scusarsi formalmente” per l’attacco contro l’ospedale canadese. “Il partner che ha attaccato questo ospedale ha violato le nostre regole, è bloccato e non è più nel nostro programma di affiliazione”, hanno detto i criminali informatici.

LockBit ha fornito a SickKids un decryptor gratuito per ripristinare i dati crittografati, anche se l’ospedale stava già ripristinando tutti i sistemi da solo. Secondo la politica di LockBit, gli affiliati dell’operazione ransomware non hanno il permesso di attaccare le istituzioni mediche per evitare morti accidentali. Tuttavia, il furto di dati è ancora consentito.