Вважається, що кібератака, яка змусила кілька лондонських лікарень оголосити надзвичайний стан у понеділок, є роботою групи програм-вимагачів як послуги (RaaS) Qilin, заявив колишній генеральний директор Національного центру кібербезпеки Сіаран Мартін в ефірі BBC Radio 4’s Today. програма середа.
Мартін сказав, що група програм-вимагачів Qilin має фінансові мотиви та базується в Росії, використовуючи тактику подвійного вимагання як для шифрування даних, так і для погроз опублікувати їх, якщо викуп не буде сплачено.
Атака була здійснена проти Synnovis, яка є партнерством між Trust NHS Foundation Guy і St Thomas і Trust Hospitals King’s College Hospitals NHS, і хост SYNLAB, який є найбільшим постачальником медичного тестування та діагностики в Європі.
Через компрометацію та шифрування систем Synnovis було перервано надання патологоанатомічних послуг у двох лікарнях NHS, а також різноманітні послуги лікарів загальної практики в районах Бекслі, Грінвіч, Льюїшем, Брамлі, Саутворк і Ламбет, заявив генеральний директор Synnovis Марк Долар у заяві. вівторок.
Наслідки атаки включали відкладення ненадзвичайної допомоги пацієнтам і перенесення операцій, що вимагають переливання крові, до інших не постраждалих лікарень.
«Системи NHS є головною мішенню для кіберзлочинців, оскільки один незначний злом може вплинути на кілька організацій. Це ще один приклад того, чому стримування взлому має першочергове значення – стримування атак у точці входу може значно зменшити вплив взлому», – сказав Тревор Дірінг, директор критичної інфраструктури Illumio, в електронному листі SC Media. «Фактор хаосу, акт, що викликає масові суспільні потрясіння, зараз є рушійною силою багатьох кібератак, а охорона здоров’я є одним із небагатьох секторів, де кібератаки можуть фатально вплинути на життя людини».
Хто такий Цілінь?
Qilin, також відомий як Agenda, є постачальником RaaS, який вперше з’явився в липні 2022 року, згідно з профілем групи SentinelOne. Qilin, як правило, націлюється на цільові цілі, такі як підприємства, а також, як відомо, націлює сектори охорони здоров’я та освіти за допомогою подвійних атак здирництва.
Згідно з аналізом Cyberint, опублікованим у березні 2024 року, програмне забезпечення-вимагач Qilin має варіанти Golang і Rust, причому варіант Rust особливо ухильний, настроюється та його важко розшифрувати. Програмне забезпечення-вимагач пропонує кілька режимів шифрування, якими може керувати оператор і часто поширюються через шкідливі посилання, додані до фішингових електронних листів.
Qilin — це російськомовна кіберзлочинна організація, яка пов’язана з низкою інцидентів у кількох країнах світу, зокрема у Великій Британії, США, Канаді, Бразилії, Франції та Японії. Qilin приписують атакам на Upper Marion Township (Пенсільванія), Etairos Health і Kevin Leeds CPA у Сполучених Штатах, і Yanfeng Automotive Interiors у Китаї.
«Як і інші операції RaaS, атаки з використанням програми-вимагача Qilin, здається, не націлені на конкретну країну чи галузь, хоча більшість їхніх жертв — організації, що базуються в Північній Америці та Західній Європі. Медичне обладнання та послуги посідають друге місце з точки зору найбільш постраждалої галузевої групи після комерційних і професійних послуг», — сказала SC Media Луїза Ферретт, старший аналітик аналізу загроз компанії Searchlight Cyber, що займається аналізом загроз в темній мережі. «Ця віктимологія, ймовірно, залежить передусім від можливостей, а також від того, які організації та географічні регіони, на думку учасників загрози, захочуть і зможуть заплатити більший викуп».
У середу The Record повідомило, що дарк-веб-сайт Qilin для здирництва раптово став недоступним і відобразив помилку 0xF2, яка є типовою, коли дарк-веб-сайт переноситься на новий сервер.
Однак аналітик із загроз Emsisoft Бретт Каллоу повідомив у середу вдень, що темний веб-сайт було відновлено, але «надзвичайно повільно завантажується», тоді як чистий веб-сайт групи, здається, не постраждав. Незрозуміло, чому сайт Qilin міг вийти з ладу, але група не додала Synnovis до свого списку жертв до переривання, згідно з The Record.
Решта статті була заблокована. Щоб продовжити читання, увійдіть.