Pourquoi est-ce important: LockBit est une opération « ransomware-as-a-service » où les créateurs et les opérateurs de logiciels malveillants gèrent le backend, tandis que les « partenaires » affiliés violent les réseaux des victimes. Parfois, cette chaîne d’opérations peut conduire à un conflit entre les parties, en particulier lorsque les affiliés vont à l’encontre de la politique commerciale formelle du ransomware.

La fin de l’année a été chargée pour LockBit, la tristement célèbre opération de ransomware offrant ses capacités de cryptage aux script kiddies et à d’autres partenaires intéressés par le crime. Le rançongiciel a d’abord été responsable d’une attaque contre l’administration du port de Lisbonne, qui gère le troisième port du Portugal et l’un des ports les plus accessibles d’Europe.

Le port de Lisbonne a été ciblé par LockBit le 25 décembre, mais selon l’administration du port, aucune activité opérationnelle n’a été compromise. Toutes les mesures de sécurité conçues en réponse à ce type d’événement ont été rapidement activées, a indiqué l’organisation, alors qu’elle travaillait avec les autorités compétentes pour restaurer les systèmes touchés.

En fait, le site officiel du port de Lisbonne est toujours hors ligne, et LockBit a déjà publié une demande de rançon sur son site officiel au sein du Tor darknet. Les cybercriminels demandent un prix élevé (1 500 000 $) à payer d’ici le 18 janvier 2023, sinon ils publieront toutes les données qu’ils ont pu voler sur les serveurs du port.

2023 01 02 image 3

Le gang LockBit dit avoir mis la main sur des rapports financiers, des audits, des budgets, des contrats, des informations sur la cargaison, des journaux de bord, de la documentation, des messages électroniques et d’autres données professionnelles ou personnelles précieuses. C’est tout à fait correct de chiffrer, voler et vendre aux parties intéressées, car le port de Lisbonne n’est pas un hôpital pour enfants comme la deuxième victime exceptionnelle que LockBit a collectée fin 2022.

Le 18 décembre, l’un des affiliés de LockBit a attaqué l’Hospital for Sick Children (SickKids), un hôpital d’enseignement canadien consacré à la santé des enfants. L’attaque impacté les systèmes internes et d’entreprise, les lignes téléphoniques et le site Web de l’hôpital. Bien que seuls « quelques » systèmes aient été compromis, les patients ont dû faire face à des retards dans les résultats des examens et à des temps d’attente plus longs.

Selon un mise à jour ultérieure, l’équipe de SickKids a pu restaurer près de 50 % des systèmes prioritaires de l’hôpital alors que d’autres étaient encore en cours. Cependant, à la veille du nouvel an, le gang LockBit a posté une note à « s’excuser formellement » pour l’attaque contre l’hôpital canadien. « Le partenaire qui a attaqué cet hôpital a violé nos règles, est bloqué et ne fait plus partie de notre programme d’affiliation », ont déclaré les cybercriminels.

LockBit a donné à SickKids un décrypteur gratuit pour restaurer les données cryptées, même si l’hôpital était déjà en train de restaurer tous les systèmes par lui-même. Selon la politique de LockBit, les affiliés de l’opération de rançongiciel n’ont pas l’autorisation d’attaquer les établissements médicaux pour éviter des décès accidentels. Cependant, le vol de données est toujours autorisé.