نشرت عصابة برامج الفدية “Qilin” ما يقرب من 400 غيغابايت من بيانات الرعاية الصحية الحساسة عبر الإنترنت بعد هجوم البرمجيات الخبيثة البارز على مختبر علم الأمراض Synnovis، الذي يعالج اختبارات الدم لمؤسسات NHS في جميع أنحاء لندن.
أثرت حادثة برامج الفدية – التي تم اكتشافها لأول مرة في 3 يونيو – على عدد من صناديق الخدمات الصحية الوطنية والعيادات العامة التي تستخدم خدمات Synnovis في جميع أنحاء العاصمة، مما أدى إلى اضطرابات كبيرة في قدرتها على تقديم الرعاية للمرضى، بما في ذلك من خلال نقص مخزون الدموتأخير الإجراءات الطبية وإلغاء المواعيد.
في 21 يونيو، قالت هيئة الخدمات الصحية الوطنية في إنجلترا إنها علمت بأن شركة Qilin قد نشرت كميات هائلة من بيانات Synnovis المسروقة عبر الإنترنت في الليلة السابقة، وأنها تعمل مع الشركة والمركز الوطني للأمن السيبراني (NCSC) وآخرين لتحديد محتوى البيانات. الملفات المنشورة في أسرع وقت ممكن.
وقالت في بيان: “يشمل ذلك ما إذا كانت البيانات مستخرجة من نظام Synnovis، وإذا كان الأمر كذلك، فما إذا كانت تتعلق بمرضى هيئة الخدمات الصحية الوطنية”. “مع توفر المزيد من المعلومات من خلال التحقيق الكامل الذي تجريه شركة Synnovis، ستستمر هيئة الخدمات الصحية الوطنية في تحديث المرضى والجمهور.”
تحاول عصابة برامج الفدية ومقرها روسيا ابتزاز شركة Synnovis منذ اختراق الشركة، وأخبرت بي بي سي سابقًا أنها ستنشر المعلومات الخاصة عبر الإنترنت ما لم تحصل على أموال.
بحسب بي بي سي، تتضمن البيانات التي تم تحميلها الآن على موقع Qilin المظلم وقناة Telegram أسماء المرضى وتواريخ الميلاد وأرقام NHS وأوصاف اختبارات الدم، ولكن من غير المعروف حاليًا ما إذا كانت نتائج الاختبار متضمنة أيضًا في البيانات.
تم أيضًا تحميل جداول بيانات حساب الأعمال، والتي تتضمن تفاصيل الترتيبات بين المستشفيات وخدمات الممارسين العامين وSynnovis.
نشرت على الانترنت
وتعليقًا على تفريغ البيانات، قال متحدث باسم Synnovis: “الليلة الماضية، نشرت مجموعة تدعي مسؤوليتها عن الهجوم السيبراني بيانات عبر الإنترنت تزعم أنها تخص Synnovis.
“نحن نعلم مدى القلق الذي قد يسببه هذا التطور لكثير من الناس. نحن نأخذ الأمر على محمل الجد ويجري بالفعل تحليل هذه البيانات. ويهدف هذا التحليل، الذي يتم إجراؤه بالتعاون مع هيئة الخدمات الصحية الوطنية والمركز الوطني للأمن السيبراني وشركاء آخرين، إلى تأكيد ما إذا كانت البيانات مأخوذة من أنظمة Synnovis وما هي المعلومات التي تحتوي عليها. سنبقي مستخدمي الخدمة والموظفين والشركاء لدينا على اطلاع دائم مع تقدم التحقيق.
يتحدث إلى بي بي سي اليوم برنامج في 5 يونيو، الرئيس التنفيذي السابق لـ NCSC سياران مارتن وقال إنه من غير المرجح أن تتلقى العصابة أي أموال بفضل سياسة حكومة المملكة المتحدة المتمثلة في عدم السماح لمنظمات القطاع العام بدفع الفدية، على الرغم من أنه أشار إلى أن Synnovis، باعتبارها منظمة من القطاع الخاص، لا تخضع لمثل هذه القيود.
وأضاف مارتن أن العصابة كانت على الأرجح تبحث فقط عن مكافأة سريعة وربما لم تتوقع التسبب في مثل هذا الاضطراب الشديد عندما هاجمت سينوفيس.
في الفترة ما بين 10 و16 يونيو، أي الأسبوع الثاني بعد الهجوم، تم تأجيل أكثر من 320 عملية مخطط لها و1294 موعدًا للمرضى الخارجيين في مستشفى كينجز كوليدج التابع لهيئة الخدمات الصحية الوطنية ومؤسسة جايز آند سانت توماس التابعة لهيئة الخدمات الصحية الوطنية.
في المجمل، تم إلغاء 1134 عملية جراحية في أعقاب الهجوم، الذي أثر أيضًا على صندوق مؤسسة جنوب لندن ومودسلي NHS Foundation Trust وOxleas NHS Foundation Trust، إلى جانب العمليات الجراحية العامة والعيادات والخدمات في بيكسلي، وبروملي، وغرينتش، ولامبيث، ولويشام. و ساوثوارك.
“لسوء الحظ، كانت مؤسسات الرعاية الصحية – وستظل – هدفًا رئيسيًا لهجمات برامج الفدية لأن الخدمات التي تقدمها تعتبر بالغة الأهمية للمجتمعات التي تخدمها، وهذا يضغط على الأهداف للعودة إلى الإنترنت في أسرع وقت ممكن. قال بيتر ماكنزي، مدير الاستجابة للحوادث في سوفوس.
وقال: “مما يزيد الأمور تعقيدا هو ارتفاع هجمات سلسلة التوريد عبر الصناعات”. “إنها طريقة مفضلة للتسوية بالنسبة لعدد من الجماعات الإجرامية، لأنها بالإضافة إلى صعوبة الدفاع عنها، فإن لها أيضًا تأثيرًا مضاعفًا، مما يسمح للمهاجمين بالتسلل إلى أنظمة متعددة في وقت واحد. في الواقع، يرى متخصصو تكنولوجيا المعلومات والإنترنت العاملون في قطاع الرعاية الصحية في المملكة المتحدة أن الشركاء وسلسلة التوريد هم أكبر خطر على الأمن السيبراني.”
وفقًا لموقع Comparitech، كانت عصابة كيلين مسؤولة عن ثماني هجمات مؤكدة في عام 2023، وقد زعمت حتى الآن أكثر من 30 هجومًا هذا العام.
تستخدم عملية برامج الفدية كخدمة تكتيك الابتزاز المزدوج القياسي للضغط على ضحاياها. تستخدم خزانة برامج الفدية الخاصة بها لغات الترميز عبر الأنظمة الأساسية Rust وGolang، وتنتشر في الغالب من خلال رسائل البريد الإلكتروني التصيدية – على الرغم من أنه من المعروف أيضًا أنها تستخدم التطبيقات والواجهات المكشوفة، بما في ذلك بروتوكول سطح المكتب البعيد وCitrix.
وفي وقت سابق من عام 2024، هاجمت أنظمة الناشر والمؤسسات الاجتماعية في المملكة المتحدة القضية الكبرىوسرقة أكثر من 500 غيغابايت من معلومات الموظفين والشركاء والعقود والبيانات المالية والاستثمارية.
