Es probable que la banda de ransomware Qilin, con sede en Rusia y con motivación financiera, esté detrás de un ciberataque en desarrollo contra el laboratorio asociado de servicios de salud Synnovis, que está interrumpiendo las funciones de atención primaria en todo el sur de Londres y ha obligado al NHS a declarar un incidente crítico.
El ataque, detectado por primera vez el lunes 3 de junio, ha afectado a varios fideicomisos del NHS, entre los que destacan Guy’s y St Thomas’ NHS Foundation Trust (incluidos los hospitales Royal Brompton y Evelina) y King’s College NHS Foundation Trust, pero también a los del sur de Londres y Maudsley NHS Foundation Trust y Oxleas NHS Foundation Trust, junto con consultorios, clínicas y servicios de médicos de cabecera en Bexley, Bromley, Greenwich, Lambeth, Lewisham y Southwark, todos los cuales dependen de los servicios de Synnovis.
Hablando con la BBC Programa de hoy El miércoles 5 de junio, el ex director ejecutivo del Centro Nacional de Seguridad Cibernética (NCSC), Ciaran Martin, dijo que la creencia actual era que Qilin estaba detrás del incidente.
Martin dijo que la pandilla probablemente solo buscaba una recompensa rápida y probablemente no esperaban causar una perturbación tan intensa cuando atacaron Synnovis. Dijo que era poco probable que la pandilla recibiera dinero gracias a la política del gobierno del Reino Unido de no permitir que las organizaciones del sector público paguen rescates, aunque señaló que Synnovis, como organización del sector privado, no está bajo tales restricciones.
Un paciente programado para someterse a una cirugía cardíaca esta semana le dijo a la BBC que se enteró de la cancelación de su operación en el último minuto, cuando el cirujano que iba a realizar el procedimiento le dijo que había un problema con el banco de sangre.
Mark Dollar, director ejecutivo de Synnovis, que se estableció como una empresa conjunta entre el especialista en servicios de diagnóstico de laboratorio con sede en Alemania Synlab y los fideicomisos del NHS involucrados, se disculpó por la interrupción.
“Lamentamos muchísimo las molestias y el malestar que esto está causando a los pacientes, a los usuarios del servicio y a cualquier otra persona afectada. Estamos haciendo todo lo posible para minimizar el impacto y nos mantendremos en contacto con los servicios locales del NHS para mantener a la gente al tanto de los avances”, dijo Dollar.
Confirmó que Synnovis efectivamente estaba lidiando con un ataque de ransomware, pero dijo que aún era temprano y que la organización aún estaba trabajando para establecer los hechos del incidente.
Mark Dollar, Synnovis
“Un grupo de trabajo de expertos en TI de Synnovis y el NHS está trabajando para evaluar completamente el impacto que esto ha tenido y tomar las medidas adecuadas necesarias. Estamos trabajando estrechamente con los socios de confianza del NHS para minimizar el impacto en los pacientes y otros usuarios del servicio… Lamentablemente, esto está afectando a los pacientes, con algunas actividades ya canceladas o redirigidas a otros proveedores debido a que se prioriza el trabajo urgente”, dijo.
“Nos tomamos muy en serio la seguridad cibernética en Synnovis y hemos invertido mucho para garantizar que nuestros sistemas de TI sean lo más seguros posible. Este es un duro recordatorio de que este tipo de ataque le puede ocurrir a cualquiera en cualquier momento y que, lamentablemente, las personas detrás de él no tienen escrúpulos sobre a quién podrían afectar sus acciones”, dijo Dollar.
Un portavoz del NHS Inglaterra – Región de Londres, dijo: “El lunes 3 de junio, Synnovis, un proveedor de servicios de laboratorio, fue víctima de un ciberataque de ransomware.
“Esto está teniendo un impacto significativo en la prestación de servicios en Guy’s y St Thomas’, los Trusts de la Fundación NHS del King’s College Hospital y los servicios de atención primaria en el sureste de Londres y nos disculpamos por las molestias que esto está causando a los pacientes y sus familias.
“La atención de emergencia continúa estando disponible, por lo que los pacientes deben acceder a los servicios de la manera habitual marcando el 999 en caso de emergencia o llamando al 111, y los pacientes deben continuar asistiendo a las citas a menos que se les indique lo contrario. Continuaremos brindando actualizaciones a los pacientes locales y al público sobre el impacto en los servicios y cómo pueden continuar recibiendo la atención que necesitan”.
El incidente ha sido reportado a las autoridades y a la Oficina del Comisionado de Información (ICO), y los involucrados están recibiendo apoyo del NCSC.
La atención sanitaria es cada vez más atacada
Aunque aún no se ha establecido si la victimización de Synnovis fue oportunista o dirigida, el sector de la salud es uno de los más frecuentemente atacados por bandas de ransomware.
De hecho, según el informe mensual de ransomware más reciente de Blackfog, que abarca mayo de 2024, ahora es el “más” atacado, con 57 incidentes conocidos durante el período, un aumento del 30% en tan solo unas pocas semanas.
Los sistemas sanitarios de todo el mundo (no sólo el NHS) son particularmente vulnerables a este tipo de ataques por varias razones: contienen enormes cantidades de datos muy sensibles y valiosos; a menudo dependen de tecnología heredada, un problema particularmente grave para muchos fideicomisos del NHS; están muy expuestos al riesgo de verse comprometidos a través de terceros proveedores, como ha ocurrido aquí; y debido a que se centran principalmente, y con razón, en la atención al paciente, pueden descuidar la capacitación en concientización sobre seguridad para el personal clínico.
Un factor no insignificante en el volumen de ataques es el hecho de que los sistemas de salud estadounidenses, administrados por empresas privadas con fines de lucro y no por el Estado, no tienen restricciones legales para pagar rescates y pueden estar más motivados para hacerlo para evitar perturbaciones.
La creciente amenaza de Qilin
La tripulación Qilin, que lleva el nombre de una quimera china legendaria, fue observada por primera vez en 2022, pero en los últimos meses se ha ido expandiendo hacia los vacíos dejados por la interrupción de operaciones como LockBit y ALPHV/BlackCat.
Según Comparitech, la pandilla fue responsable de ocho ataques confirmados en 2023, y en lo que va de año se ha adjudicado más de 30.
La operación de ransomware como servicio utiliza la ahora estándar táctica de doble extorsión para presionar a sus víctimas. Su casillero de ransomware utiliza los lenguajes de codificación multiplataforma Rust y Golang, y se propaga principalmente a través de correos electrónicos de phishing, aunque también se sabe que utiliza aplicaciones e interfaces expuestas, incluido el protocolo de escritorio remoto y Citrix.
A principios de 2024, atacó los sistemas de la empresa social y editorial con sede en el Reino Unido The Big Issue, robando más de 500 GB de información de personal y socios, contratos y datos financieros y de inversión.