Gang ransomware Qilin opublikował w Internecie prawie 400 GB wrażliwych danych dotyczących opieki zdrowotnej po głośnym ataku złośliwego systemu na laboratorium patologiczne Synnovis, które przetwarza badania krwi dla organizacji NHS w całym Londynie.
Incydent z oprogramowaniem ransomware – który po raz pierwszy wykryto 3 czerwca – dotknął wiele funduszy NHS i gabinetów lekarskich korzystających z usług Synnovis w całej stolicy, powodując poważne zakłócenia w ich umiejętności świadczenia opieki nad pacjentami, w tym poprzez niedobory krwiopóźnienia w procedurach medycznych i odwołane wizyty.
W dniu 21 czerwca NHS England poinformowała, iż została poinformowana, iż poprzedniego wieczoru firma Qilin opublikowała w Internecie ogromne ilości skradzionych danych firmy Synnovis i iż współpracuje z firmą, Narodowym Centrum Bezpieczeństwa Cybernetycznego (NCSC) i innymi podmiotami w celu ustalenia treści tych danych. opublikowane pliki tak szybko, jak to możliwe.
„Obejmuje to, czy są to dane pobrane z systemu Synnovis, a jeżeli tak, to czy dotyczą pacjentów NHS” – stwierdzono w oświadczeniu. „W miarę jak w wyniku pełnego badania firmy Synnovis dostępnych będzie więcej informacji, NHS będzie w dalszym ciągu informować pacjentów i opinię publiczną”.
Rosyjski gang zajmujący się oprogramowaniem ransomware próbuje wyłudzić pieniądze od Synnovis od czasu włamania się do firmy, wcześniej informując BBC, iż opublikuje prywatne informacje w Internecie, jeżeli nie otrzyma zapłaty.
Według BBCdane przesłane w tej chwili do ciemnej sieci Qilin i na kanał Telegramu obejmują nazwiska pacjentów, daty urodzenia, numery NHS i opisy badań krwi, ale w tej chwili nie wiadomo, czy dane te obejmują również wyniki testów.
Przesłano także arkusze kalkulacyjne kont firmowych, zawierające szczegółowe ustalenia pomiędzy szpitalami, przychodniami rodzinnymi i firmą Synnovis.
Opublikowano w Internecie
Komentując zrzut danych, rzecznik Synnovis powiedział: „Wczoraj wieczorem grupa przyznająca się do cyberataku opublikowała w Internecie dane, które ich zdaniem należą do Synnovis.
„Wiemy, jak niepokojąca może być ta sytuacja dla wielu osób. Traktujemy to bardzo poważnie i analiza tych danych już trwa. Analiza ta, przeprowadzona we współpracy z NHS, Narodowym Centrum Bezpieczeństwa Cybernetycznego i innymi partnerami, ma na celu potwierdzenie, czy dane zostały pobrane z systemów Synnovis i jakie informacje zawierają. W miarę postępu dochodzenia będziemy na bieżąco informować naszych użytkowników usług, pracowników i partnerów”.
Rozmawiam z BBC Dzisiaj program 5 czerwca były dyrektor naczelny NCSC Ciarana Martina stwierdził, iż jest mało prawdopodobne, aby gang otrzymał jakiekolwiek pieniądze dzięki polityce rządu Wielkiej Brytanii zakazującej organizacjom sektora publicznego płacenia okupów, chociaż zauważył, iż Synnovis jako organizacja sektora prywatnego nie podlega takim ograniczeniom.
Martin dodał, iż gang prawdopodobnie po prostu szukał szybkiej zemsty i prawdopodobnie nie spodziewał się, iż spowoduje tak intensywne zakłócenia, atakując Synnovis.
Między 10 a 16 czerwca, drugim tygodniem po ataku, w szpitalach King’s College Hospital NHS Foundation Trust oraz Guy’s and St Thomas’ NHS Foundation Trust przełożono ponad 320 zaplanowanych operacji i 1294 wizyt ambulatoryjnych.
W sumie w wyniku ataku odwołano 1134 operacje, co dotknęło także fundacje South London i Maudsley NHS Foundation Trust oraz Oxleas NHS Foundation Trust, a także gabinety lekarskie, kliniki i usługi w Bexley, Bromley, Greenwich, Lambeth, Lewisham i Southwark.
„Niestety organizacje opieki zdrowotnej były – i przez cały czas będą – głównym celem ataków systemu ransomware, ponieważ świadczone przez nie usługi mają najważniejsze znaczenie dla społeczności, którym służą, co wywiera presję na cele, aby jak najszybciej wróciły do trybu online, ” powiedział Peter Mackenzie, dyrektor ds. reagowania na incydenty w Sophos.
„Sytuację dodatkowo komplikuje wzrost liczby ataków na łańcuch dostaw w różnych branżach” – stwierdził. „Są preferowaną metodą kompromisu w przypadku wielu grup przestępczych, ponieważ nie tylko trudno się przed nimi obronić, ale mają także efekt domina, umożliwiając atakującym infiltrację wielu systemów jednocześnie. W rzeczywistości specjaliści IT i cybernetyczni pracujący w brytyjskim sektorze opieki zdrowotnej postrzegają partnerów i łańcuch dostaw jako największe zagrożenie dla bezpieczeństwa cybernetycznego”.
Według Comparitech gang Qilin był odpowiedzialny za osiem potwierdzonych ataków w 2023 r., a w tym roku było ich już ponad 30.
Operacja ransomware jako usługa wykorzystuje w tej chwili standardową taktykę podwójnego wymuszenia, aby wywrzeć presję na ofiary. Jego moduł ransomware wykorzystuje wieloplatformowe języki kodowania Rust i Golang i rozprzestrzenia się głównie za pośrednictwem wiadomości e-mail typu phishing – chociaż wiadomo również, iż wykorzystuje ujawnione aplikacje i interfejsy, w tym protokół zdalnego pulpitu i Citrix.
Na początku 2024 r. zaatakował systemy brytyjskiego wydawcy i przedsiębiorstwa społecznego Wielki problemkradnąc ponad 500 GB informacji o personelu i partnerach, umowach oraz danych finansowych i inwestycyjnych.
