من المحتمل أن تكون عصابة برامج الفدية Qilin ذات الدوافع المالية والتي تتخذ من روسيا مقراً لها، هي التي تقف وراء الهجوم السيبراني المتطور على شريك مختبر الخدمات الصحية Synnovis، والذي تعطيل وظائف الرعاية الأولية في جميع أنحاء جنوب لندن وأجبرت هيئة الخدمات الصحية الوطنية على إعلان وقوع حادث خطير.
لقد أثر الهجوم، الذي تم اكتشافه لأول مرة يوم الاثنين 3 يونيو، على عدد من مؤسسات هيئة الخدمات الصحية الوطنية، وأبرزها مؤسسة غاي وسانت توماس التابعة لهيئة الخدمات الصحية الوطنية (بما في ذلك مستشفيات رويال برومبتون وإيفيلينا) ومؤسسة كينغز كوليدج التابعة لهيئة الخدمات الصحية الوطنية، وكذلك مؤسسة جنوب لندن ولندن. Maudsley NHS Foundation Trust وOxleas NHS Foundation Trust، جنبًا إلى جنب مع جراحات الممارسين العامين والعيادات والخدمات في Bexley وBromley وGreenwich وLambeth وLewisham وSouthwark، والتي تعتمد جميعها على خدمات Synnovis.
يتحدث إلى بي بي سي برنامج اليوميوم الأربعاء 5 يونيو، الرئيس التنفيذي السابق للمركز الوطني للأمن السيبراني (NCSC). سياران مارتن وقال إن الاعتقاد السائد هو أن تشيلين كان وراء الحادث.
وقال مارتن إن العصابة كانت على الأرجح تبحث فقط عن مكافأة سريعة وربما لم تتوقع التسبب في مثل هذا الاضطراب الشديد عندما هاجمت سينوفيس. وقال إنه من غير المرجح أن تتلقى العصابة أي أموال بفضل سياسة حكومة المملكة المتحدة المتمثلة في عدم السماح لمنظمات القطاع العام بدفع الفدية، على الرغم من أنه أشار إلى أن Synnovis، باعتبارها منظمة من القطاع الخاص، لا تخضع لمثل هذه القيود.
وقال أحد المرضى، الذي كان من المقرر أن يخضع لعملية جراحية في القلب هذا الأسبوع، لبي بي سي إنه علم بإلغاء عمليته في اللحظة الأخيرة، عندما أخبره الجراح الذي كان من المقرر أن يجري العملية أن هناك مشكلة في بنك الدم.
مارك دولار، الرئيس التنفيذي لشركة Synnovis، التي تم تأسيسها كمشروع مشترك بين متخصص في خدمات التشخيص المختبري في ألمانيا سينلاب واعتذرت صناديق NHS المعنية عن التعطيل.
“نحن نأسف بشدة على الإزعاج والانزعاج الذي يسببه هذا للمرضى ومستخدمي الخدمة وأي شخص آخر متضرر. قال دولار: “نحن نبذل قصارى جهدنا لتقليل التأثير وسنبقى على اتصال مع خدمات NHS المحلية لإبقاء الناس على اطلاع دائم بالتطورات”.
وأكد أن شركة Synnovis كانت تتعامل بالفعل مع هجوم فدية، لكنه قال إن الوقت لا يزال مبكرًا وأن المنظمة لا تزال تعمل على تحديد حقائق الحادث.
يعد هذا تذكيرًا قاسيًا بأن هذا النوع من الهجوم يمكن أن يحدث لأي شخص في أي وقت، وأن الأفراد الذين يقفون وراءه ليس لديهم أي تردد بشأن من قد تؤثر عليه أفعالهم.
مارك دولار، سينوفيس
“يعمل فريق عمل من خبراء تكنولوجيا المعلومات من Synnovis وNHS على إجراء تقييم كامل لتأثير ذلك، واتخاذ الإجراء المناسب اللازم. نحن نعمل بشكل وثيق مع شركاء ثقة هيئة الخدمات الصحية الوطنية لتقليل التأثير على المرضى ومستخدمي الخدمة الآخرين… وللأسف، يؤثر هذا على المرضى، حيث تم بالفعل إلغاء بعض الأنشطة أو إعادة توجيهها إلى مقدمي الخدمة الآخرين مع إعطاء الأولوية للعمل العاجل.
“نحن نأخذ الأمن السيبراني على محمل الجد في Synnovis وقد استثمرنا بكثافة في ضمان أن تكون ترتيبات تكنولوجيا المعلومات لدينا آمنة قدر الإمكان. وقال دولار: “هذا تذكير قاسٍ بأن هذا النوع من الهجوم يمكن أن يحدث لأي شخص في أي وقت، وأن الأفراد الذين يقفون وراءه ليس لديهم أي وازع بشأن من قد تؤثر أفعالهم”.
وقال متحدث باسم هيئة الخدمات الصحية الوطنية في إنجلترا ومنطقة لندن: “في يوم الاثنين الموافق 3 يونيو، كانت شركة Synnovis، وهي مزود خدمات معملية، ضحية لهجوم إلكتروني ببرنامج فدية.
“هذا له تأثير كبير على تقديم الخدمات في Guy’s and St Thomas، وصناديق مؤسسة NHS التابعة لمستشفى King’s College، وخدمات الرعاية الأولية في جنوب شرق لندن، ونحن نعتذر عن الإزعاج الذي يسببه هذا للمرضى وعائلاتهم.
“لا تزال رعاية الطوارئ متاحة، لذا يجب على المرضى الوصول إلى الخدمات بالطريقة العادية عن طريق الاتصال بالرقم 999 في حالات الطوارئ واستخدام الرقم 111، ويجب على المرضى الاستمرار في حضور المواعيد ما لم يتم إخبارهم بخلاف ذلك. سنواصل تقديم التحديثات للمرضى المحليين والجمهور حول التأثير على الخدمات وكيف يمكنهم الاستمرار في الحصول على الرعاية التي يحتاجون إليها.
تم الإبلاغ عن الحادث إلى سلطات إنفاذ القانون ومكتب مفوض المعلومات (ICO)، ويتلقى المتورطون الدعم من NCSC.
تعرضت الرعاية الصحية لهجوم متزايد
على الرغم من أنه لم يتم تحديد ما إذا كان إيذاء Synnovis انتهازيًا أم مستهدفًا أم لا، فإن قطاع الرعاية الصحية هو أحد أكثر القطاعات التي تتعرض للهجوم من قبل عصابات برامج الفدية.
في الواقع، وفقًا لـ Blackfog أحدث تقرير شهري عن برامج الفدية – يغطي شهر مايو 2024 – وهو الآن “الأكثر” تعرضًا للهجوم، مع 57 حادثًا معروفًا خلال هذه الفترة، بزيادة 30٪ في غضون أسابيع قليلة فقط.
أنظمة الرعاية الصحية في جميع أنحاء العالم – وليس فقط هيئة الخدمات الصحية الوطنية – معرضة بشكل خاص لمثل هذه الهجمات لعدد من الأسباب: فهي تحتفظ بكميات هائلة من البيانات الحساسة والقيمة للغاية؛ غالبًا ما تعتمد على التكنولوجيا القديمة، وهي مشكلة حادة بشكل خاص للعديد من صناديق الخدمات الصحية الوطنية؛ معرضون بشدة لخطر التسوية من خلال موردي الطرف الثالث كما حدث هنا؛ ولأنهم يركزون في المقام الأول، وبحق، على رعاية المرضى، فقد يهملون التدريب على الوعي الأمني للموظفين السريريين.
أحد العوامل المهمة في حجم الهجمات هو حقيقة أن أنظمة الرعاية الصحية الأمريكية، التي تديرها مؤسسات خاصة لتحقيق الربح وليس من قبل الدولة، ليس لديها قيود قانونية على دفع الفدية وقد تكون أكثر تحفيزًا للقيام بذلك لتجنب التعطيل.
التهديد المتزايد من كيلين
تم تسمية طاقم Qilin على اسم الوهم الصيني الأسطوري، وتم رصده لأول مرة في عام 2022، ولكن في الأشهر الأخيرة، كان يتوسع في الفجوات التي خلفها تعطيل العمليات مثل LockBit وALPHV/BlackCat.
وفقًا لموقع Comparitech، كانت العصابة مسؤولة عن ثماني هجمات مؤكدة في عام 2023، وقد زعمت حتى الآن هذا العام أكثر من 30 هجومًا.
تستخدم عملية برامج الفدية كخدمة تكتيك الابتزاز المزدوج القياسي للضغط على ضحاياها. تستخدم خزانة برامج الفدية الخاصة بها لغات الترميز عبر الأنظمة الأساسية Rust وGolang، وتنتشر في الغالب من خلال رسائل البريد الإلكتروني التصيدية، على الرغم من أنه من المعروف أيضًا أنها تستخدم التطبيقات والواجهات المكشوفة، بما في ذلك بروتوكول سطح المكتب البعيد وCitrix.
وفي وقت سابق من عام 2024، هاجمت أنظمة الناشر والمؤسسات الاجتماعية في المملكة المتحدة القضية الكبرىوسرقة أكثر من 500 غيغابايت من معلومات الموظفين والشركاء والعقود والبيانات المالية والاستثمارية.
