Amende honorable ou coup de pub ? Le 31 décembre 2022, le tristement célèbre cybergang LockBit a fait une surprenante annonce à la suite du piratage le 18 décembre dernier de l'hôpital pour enfants canadien SickKids situé à Toronto. « Nous nous excusons officiellement pour l'attaque sur sikkids.ca et donnons gratuitement la clé de déchiffrement, le partenaire qui a attaqué l'hôpital a violé nos règles, il a été bloqué et ne fait depuis plus partie de notre programme d'affiliés », a expliqué le groupe de cybercriminels.

L'Hôpital pour enfants malades SickKids avait déclenché le « Code Grey », activé par les établissements de santé outre-Atlantique pour signifier de graves perturbations de leurs activités et/ou de leurs systèmes. « Outre des difficultés pour appeler l'hôpital et accéder à son site, SickKids a aussi rencontrer des problèmes pour retrouver des résultats d'imagerie et de laboratoires pouvant allonger les temps de diagnostic et/ou de traitement pour des patients, avait indiqué le 22 décembre le groupe hospitalier qui a confirmé la nature du piratage par ransomware et prévoyait au moins plusieurs semaines pour rétablir la situation à la normale. « Il n'y a pas de preuve à date que des informations personnelles ou de santé aient été impactées », avait observé SickKids, indiquant le 29 décembre être parvenu à récupérer et remettre en ligne près de la moitié de systèmes touchés par cette cyberattaque. 

Les systèmes Windows non touchés

Ce 1er janvier 2023, SickKids a pris connaissance de l'annonce par LockBit de la publication d'un outil de déchiffrement pour restaurer ses systèmes infectés. « Nous avons engagé nos experts tiers pour valider et évaluer l'utilisation de ce déchiffreur », glisse l'hôpital. L'établissement a par ailleurs précisé être déjà parvenu à rétablir plus de 60 % de ses systèmes prioritaires et que les efforts de restauration se poursuivaient. Une façon également de montrer la capacité du groupe à s'en sortir seul face à cet incident.

Selon BleepingComputer, le déchiffreur serait de type Linux/VMware ESXi sans prise en charge de Windows, signifiant donc que seules des machines virtuelles auraient pu être infectées, limitant de facto l'étendu des dégâts de ce ransomware et par effet domino les gains financiers pour LockBit, fonctionnant rappelons-le sur un modèle RaaS (rançongiciel à la demande) dans lequel une part des gains lui est reversé en cas de réussite du rançonnage. En sabordant son affilié, LockBit a-t-il voulu faire une pierre deux coups en se séparant d'un membre pas assez performant d'une part, et en passant d'autre part pour le bon samaritain en poussant une clé de déchiffrement gratuite ? Cette clémence a en tout cas de quoi interpeller quand on sait que le centre hospitalier sud francilien (CHSF) de Corbeil Essonnes n'en n'a absolument pas bénéficié. Et pourtant ce dernier a dû déclencher son plan blanc et transférer des patients instables ou nécessitant des soins aigus ou à risque qui ont besoin d'une surveillance accrue, incluant des nourrissons hospitalisés en réanimation et en soins intensifs de néonatalogie.