Pazartesi günü Patoloji Hizmetleri Sağlayıcısı Synnovis'i vuran ve Londra'daki birkaç büyük NHS hastanesini etkileyen bir fidye yazılımı saldırısı şimdi Qilin Fidye Yazılımı operasyonuna bağlandı.
İngiltere Ulusal Siber Güvenlik Merkezi'nin (NCSC) açılış CEO'su Ciaran Martin, bugün Qilin çetesinin olaydan sorumlu olduğunu söyledi
Saldırı, Synnovis'in sistemlerinden kilitlenmesine neden oldu ve Guy's ve St Thomas'ın NHS Foundation Trust, King's College Hastanesi NHS Foundation Trust'ta ve Güney Doğu Londra'daki çeşitli birincil bakım sağlayıcılarında devam eden hizmet aksaklıklarına neden oldu.
Martin Çarşamba günü BBC Radio 4'e verdiği demeçte, "Kendilerini Qilin olarak adlandıran bir Rus siber suçlu grubu olduğuna inanıyoruz." Dedi.
"Sadece para arıyorlar. Şirkete saldırmak için yola çıktıklarında bu kadar ciddi birincil sağlık hizmetlerinin bozulmasına neden olacaklarını bilecekleri pek olası değil."
Synnovis'in Müşteri Hizmetleri Portalı Üzerine Bir Uyarı şu anda veri merkezi sorunları konusunda uyarıyor ve şu anda tüm sistemlere erişilemiyor.
Synnovis fidye yazılımı saldırısından etkilenen hastanelerin yetkilileri tarafından gönderilen notlar Salı günü, bu "devam eden kritik olayın" prosedürleri ve operasyonları üzerinde "büyük bir etkisi" olduğunu ortaya koydu.
Etkilenen Londra hastanelerindeki bazı acil olmayan patoloji randevuları, kan transfüzyonları ve ameliyatlar ya ertelendi, iptal edildi veya diğer sağlayıcılara yönlendirildi.
NHS Çarşamba günü yaptığı açıklamada, A&E, acil bakım merkezleri ve doğum departmanları gibi acil ve acil servislerin her zamanki gibi açık olduğunu söyledi. Bir NHS İngiltere siber olay müdahale ekibi şu anda saldırının tamamını ve bunun hasta ve çalışan verileri üzerindeki etkisini değerlendiriyor.
Bir NHS sözcüsü bugün, "Tüm acil ve acil servisler her zamanki gibi açık kalıyor ve poliklinik hizmetlerinin çoğunluğu normal olarak çalışmaya devam ediyor." Dedi.
"Ne yazık ki, patoloji hizmetlerine daha fazla dayanan bazı operasyonlar ve prosedürler ertelendi ve en acil durumlar için kan testi öncelik veriliyor, yani bazı hastalar flebotomi randevuları iptal edildi."
Qilin'in karanlık web sızıntısı sitesi şu anda kapalı olmasına rağmen, bu kesintinin 3 Haziran Pazartesi günü Synnovis sistemlerine çarpan fidye yazılımı saldırısına bağlı olduğuna dair bir kanıt yok.
Qilin fidye yazılımı operasyonu Ağustos 2022'de "gündem" adı altında ortaya çıktı, ancak bir ay sonra Qilin olarak yeniden markalandı.
Çete, lansmanından bu yana istikrarlı bir kurban akışı ile bağlantılı veya talep edildi, 130'dan fazla şirket son iki yılda karanlık ağ sızıntı alanına eklendi. Ancak, Qilin operatörleri 2023'ün sonuna doğru saldırılar alınana kadar çok aktif değildi.
Aralık 2023'ten bu yana, bu siber suçlular, özellikle kurumsal kuruluşlar tarafından ışık kaynağı ihtiyaçları için tercih edilen VMware ESXI sanal makinelerini hedeflemek için tasarlanan en gelişmiş ve özelleştirilebilir Linux şifrelemelerinden birini geliştirmektedir.
İşletmeleri hedefleyen diğer fidye yazılımı çetelerine benzer şekilde, Qilin, bir şirketin ağlarına sızarak ve kurbanın sistemlerinde ilerlerken veri çıkararak faaliyet gösteriyor.
Sunucular için yönetici kimlik bilgileri aldıktan ve tüm hassas verileri topladıktan sonra, saldırganlar ağa bağlı tüm aygıtları şifrelemek için fidye yazılımı yüklerini dağıtırlar.
Daha sonra, çift genişlemeli saldırılar yapmak için çalıntı verileri ve şifrelenmiş dosyaları kullanırlar ve hedeflenen şirketlere taleplerini karşılamaları için baskı yaparlar. Şimdiye kadar, BleepingComputer, kurbanın büyüklüğüne bağlı olarak 25.000 $ ile milyonlarca dolar arasında değişen fidye taleplerini gördü.
Synnovis Ransomware Saldırısı tarafından bozulan büyük Londra hastaneleri
Fransız Hastanesi CHC-SV, Lockbit gasp talebini ödemeyi reddediyor
Vice Society Lausd Fidye Yazılımı Saldırısı, 500GB veri hırsızlığı iddia ediyor
Yeni Sis Fidye Yazılımı, ihlal edilen VPN'ler aracılığıyla ABD eğitim sektörünü hedefliyor
Ransomhub gasp çetesi şu anda yok olan Şövalye Fidye Yazılımına Bağlı
Kaynak: Bleeping Computer