La banda de ransomware Qilin ha publicado casi 400 GB de datos sanitarios confidenciales en línea tras su notorio ataque de malware al laboratorio de patología Synnovis, que procesa análisis de sangre para organizaciones del NHS en todo Londres.
El incidente de ransomware, que se detectó por primera vez el 3 de junio, afectó a varios fideicomisos del NHS y consultorios de médicos de cabecera que utilizan los servicios de Synnovis en toda la capital, provocando importantes interrupciones en su capacidad para brindar atención al paciente, incluso por escasez de existencias de sangre y retrasos en los procedimientos médicos. y citas canceladas.
El 21 de junio, NHS England dijo que había tenido conocimiento de que Qilin había publicado en línea enormes cantidades de datos robados de Synnovis la noche anterior, y que estaba trabajando con la compañía, el Centro Nacional de Seguridad Cibernética (NCSC) y otros para determinar el contenido de los archivos publicados lo más rápido posible.
“Esto incluye si se trata de datos extraídos del sistema Synnovis y, de ser así, si se relacionan con pacientes del NHS”, dijo en un comunicado. “A medida que haya más información disponible a través de la investigación completa de Synnovis, el NHS continuará actualizando a los pacientes y al público”.
La banda de ransomware con sede en Rusia ha estado intentando extorsionar a Synnovis desde que pirateó la empresa, y anteriormente le dijo a la BBC que publicarían la información privada en línea a menos que les pagaran.
Según la BBC, los datos ahora subidos al sitio darknet de Qilin y al canal Telegram incluyen nombres de pacientes, fechas de nacimiento, números del NHS y descripciones de análisis de sangre, pero actualmente se desconoce si los resultados de las pruebas también se incluyen en los datos.
También se han subido hojas de cálculo de cuentas comerciales que detallan los acuerdos entre hospitales, servicios de médicos de cabecera y Synnovis.
Publicado en línea
Al comentar sobre el volcado de datos, un portavoz de Synnovis dijo: “Anoche, un grupo que se atribuyó la responsabilidad del ciberataque publicó datos en línea que, según ellos, pertenecen a Synnovis.
“Sabemos lo preocupante que puede ser este acontecimiento para muchas personas. Nos lo estamos tomando muy en serio y ya se está realizando un análisis de estos datos. Este análisis, realizado en conjunto con el NHS, el Centro Nacional de Seguridad Cibernética y otros socios, tiene como objetivo confirmar si los datos fueron tomados de los sistemas de Synnovis y qué información contienen. Mantendremos informados a nuestros usuarios, empleados y socios de servicios a medida que avance la investigación”.
Hablando con la BBC Hoy programa El 5 de junio, el ex director ejecutivo del NCSC, Ciaran Martin, dijo que era poco probable que la banda recibiera dinero gracias a la política del gobierno del Reino Unido de no permitir que las organizaciones del sector público paguen rescates, aunque señaló que Synnovis, como organización del sector privado, no bajo tales restricciones.
Martin agregó que la pandilla probablemente solo buscaba una recompensa rápida y probablemente no esperaban causar una perturbación tan intensa cuando atacaron Synnovis.
Entre el 10 y el 16 de junio, la segunda semana después del ataque, se pospusieron más de 320 operaciones planificadas y 1.294 citas ambulatorias en King’s College Hospital NHS Foundation Trust y Guy’s and St Thomas’ NHS Foundation Trust.
En total, se cancelaron 1.134 operaciones tras el ataque, que también afectó a South London and Maudsley NHS Foundation Trust y Oxleas NHS Foundation Trust, además de consultorios, clínicas y servicios de médicos de cabecera en Bexley, Bromley, Greenwich, Lambeth y Lewisham. y Southwark.
“Desafortunadamente, las organizaciones de atención médica han sido, y seguirán siendo, un objetivo principal para los ataques de ransomware porque los servicios que brindan son muy críticos para las comunidades a las que sirven, y esto ejerce presión sobre los objetivos para que vuelvan a estar en línea lo más rápido posible. ”, dijo Peter Mackenzie, director de respuesta a incidentes de Sophos.
“Lo que complica aún más las cosas es el aumento de los ataques a la cadena de suministro en todas las industrias”, dijo. “Son el método de ataque preferido por varios grupos criminales porque, además de ser difíciles de defender, también tienen un efecto dominó, permitiendo a los atacantes infiltrarse en múltiples sistemas a la vez. De hecho, los profesionales de TI y cibernéticos que trabajan en el sector sanitario del Reino Unido perciben que los socios y la cadena de suministro son su mayor riesgo de ciberseguridad”.
Según Comparitech, la banda Qilin fue responsable de ocho ataques confirmados en 2023, y en lo que va de año se ha cobrado más de 30.
La operación de ransomware como servicio utiliza la ahora estándar táctica de doble extorsión para presionar a sus víctimas. Su casillero de ransomware utiliza los lenguajes de codificación multiplataforma Rust y Golang, y se propaga principalmente a través de correos electrónicos de phishing, aunque también se sabe que utiliza aplicaciones e interfaces expuestas, incluido el protocolo de escritorio remoto y Citrix.
A principios de 2024, atacó los sistemas de una editorial y una empresa social con sede en el Reino Unido. El gran problemarobando más de 500 GB de información de personal y socios, contratos y datos financieros y de inversión.