Банда программ-вымогателей Qilin опубликовала в Интернете почти 400 ГБ конфиденциальных медицинских данных после громкой атаки вредоносного ПО на патологоанатомическую лабораторию Synnovis, которая обрабатывает анализы крови для организаций Национальной службы здравоохранения по всему Лондону.
Инцидент с программой-вымогателем, который был впервые обнаружен 3 июня, затронул ряд учреждений Национальной службы здравоохранения и кабинетов врачей общей практики, пользующихся услугами Synnovis по всей столице, что вызвало серьезные сбои в их способности оказывать помощь пациентам, в том числе из-за нехватки запасов крови и задержек в медицинских процедурах. и отменил встречи.
21 июня Национальная служба здравоохранения Англии заявила, что ей стало известно, что Цилинь накануне вечером опубликовал в Интернете огромное количество украденных данных Synnovis и что она работает с компанией, Национальным центром кибербезопасности (NCSC) и другими организациями, чтобы определить содержание опубликованные файлы как можно быстрее.
«Это включает в себя, извлечены ли эти данные из системы Synnovis, и если да, то относятся ли они к пациентам Национальной службы здравоохранения», — говорится в заявлении. «По мере того, как в ходе полного расследования Synnovis станет доступна дополнительная информация, Национальная служба здравоохранения продолжит информировать пациентов и общественность».
Базирующаяся в России банда вымогателей пытается вымогать деньги у Synnovis после взлома фирмы, ранее сообщив BBC, что они опубликуют личную информацию в Интернете, если им не заплатят.
По данным BBC, данные, загруженные на даркнет-сайт Цилиня и на канал Telegram, включают имена пациентов, даты рождения, номера Национальной службы здравоохранения и описания анализов крови, но в настоящее время неизвестно, включены ли в данные также результаты тестов.
Также были загружены таблицы бизнес-счетов с подробным описанием договоренностей между больницами, службами общей практики и Synnovis.
Опубликовано в Интернете
Комментируя сброс данных, представитель Synnovis заявил: «Вчера вечером группа, взявшая на себя ответственность за кибератаку, опубликовала в Интернете данные, которые, по их утверждениям, принадлежат Synnovis.
«Мы знаем, насколько тревожным может быть такое развитие событий для многих людей. Мы относимся к этому очень серьёзно, и анализ этих данных уже идёт. Этот анализ, проводимый совместно с Национальной службой здравоохранения, Национальным центром кибербезопасности и другими партнерами, направлен на то, чтобы подтвердить, были ли данные взяты из систем Synnovis и какую информацию они содержат. Мы будем держать пользователей наших услуг, сотрудников и партнеров в курсе событий по мере продвижения расследования».
В разговоре с BBC Сегодня программа 5 июня бывший исполнительный директор NCSC Кьяран Мартин заявил, что маловероятно, что банда получит какие-либо деньги благодаря политике правительства Великобритании, запрещающей организациям государственного сектора платить выкуп, хотя он отметил, что Synnovis, как организация частного сектора, не является под такими ограничениями.
Мартин добавил, что банда, скорее всего, просто искала быструю отдачу и, вероятно, не ожидала, что нападет на Синновис, что вызовет такие серьезные беспорядки.
В период с 10 по 16 июня, на второй неделе после нападения, более 320 запланированных операций и 1294 амбулаторных приема были отложены в Фонде Фонда Национальной службы здравоохранения Королевского колледжа и Фонда Национальной службы здравоохранения Гая и Сент-Томаса.
В общей сложности после нападения было отменено 1134 операции, что также затронуло Фонды Южного Лондона и Модсли NHS Foundation Trust и Oxleas NHS Foundation Trust, а также кабинеты, клиники и службы общей практики в Бексли, Бромли, Гринвиче, Ламбете, Льюишаме. и Саутварк.
«К сожалению, организации здравоохранения были и будут оставаться главной мишенью для атак программ-вымогателей, поскольку предоставляемые ими услуги очень важны для сообществ, которым они служат, и это заставляет цели как можно быстрее вернуться в онлайн». — сказал Питер Маккензи, директор по реагированию на инциденты компании Sophos.
«Еще больше усложняет ситуацию рост атак на цепочки поставок в разных отраслях», — сказал он. «Они являются предпочтительным методом компрометации для ряда преступных группировок, потому что, помимо того, что от них сложно защититься, они также имеют волновой эффект, позволяя злоумышленникам проникать в несколько систем одновременно. Фактически, ИТ-специалисты и специалисты по кибербезопасности, работающие в секторе здравоохранения Великобритании, считают, что партнеры и цепочка поставок представляют собой самый большой риск кибербезопасности».
По данным Comparitech, банда Цилинь несет ответственность за восемь подтвержденных нападений в 2023 году, а в этом году было заявлено более 30.
Операция «Программы-вымогатели как услуга» использует теперь стандартную тактику двойного вымогательства, чтобы оказать давление на своих жертв. Его программа-вымогатель использует кросс-платформенные языки программирования Rust и Golang и распространяется в основном через фишинговые электронные письма, хотя также известно, что она использует открытые приложения и интерфейсы, включая протокол удаленного рабочего стола и Citrix.
Ранее в 2024 году он атаковал системы британского издательского и социального предприятия. Большая проблемапохитив более 500 ГБ информации о персонале и партнерах, контрактах, а также финансовых и инвестиционных данных.
