月曜日に病理学サービス・プロバイダーであるSynnovis社を襲い、ロンドンの複数の主要NHS病院に影響を与えたランサムウェア攻撃は、現在Qilinランサムウェア作戦と関連している。
英国国家サイバー・セキュリティ・センター(NCSC)の初代CEOであるキアラン・マーティン氏は本日、Qilin一味がこの事件の原因である可能性が高いと述べた。
この攻撃により、Synovisはシステムからロックアウトされ、Guy’s and St Thomas’ NHS Foundation Trust、King’s College Hospital NHS Foundation Trust、そしてロンドン南東部の様々なプライマリ・ケア・プロバイダーにおいて、継続的なサービスの中断を引き起こしている。
「我々は、それがQilinと名乗るロシアのサイバー犯罪者グループであると考えています “とマーティンは水曜日にBBCラジオ4に語った。
「彼らは単に金目当てです。彼らが会社を攻撃しようとしたとき、このような深刻な一次医療の混乱を引き起こすことを知っていたとは考えにくい”。
現在、シノビスのカスタマー・サービス・ポータルのアラートでは、データセンターに問題があり、すべてのシステムにアクセスできないことを警告している。
Synnovisのランサムウェア攻撃の影響を受けた病院の関係者から送られたメモによると、火曜日、この「進行中の重大事件」が、病院の手続きや業務に「大きな影響」を及ぼしていることが明らかになった。
影響を受けたロンドンの病院では、緊急でない病理検査の予約、輸血、手術の一部が延期、キャンセル、あるいは他の医療機関に変更された。
NHSは2日、A&E、緊急ケアセンター、産科などの緊急・救急サービスは通常通り営業していると発表した。NHSイングランドのサイバー事件対応チームは現在、攻撃の全容と患者や従業員のデータへの影響を評価している。
「NHSの広報担当者は本日、「緊急・救急サービスはすべて通常通り営業しており、外来患者サービスの大部分も通常通り営業を続けている。
「残念なことに、病理検査に大きく依存する手術や処置は延期され、血液検査は緊急性の高い症例に優先されるため、瀉血の予約がキャンセルされた患者もいる。
Qilinのダークウェブ流出サイトは現在ダウンしているが、この停止が6月3日月曜日にSynnovisのシステムを襲ったランサムウェア攻撃と関連しているという証拠はない。
Qilinランサムウェアは2022年8月に “Agenda “の名で登場したが、その1ヵ月後にQilinと改名された。
この一団は、過去2年間に130以上の企業がダークウェブのリークサイトに追加されるなど、立ち上げ以来、着実に被害者と結びついたり、被害者を主張したりしてきた。しかし、2023年末に攻撃が活発化するまで、Qilinのオペレーターはあまり積極的ではなかった。
2023年12月以降、これらのサイバー犯罪者たちは、これまでに見られた中で最も高度でカスタマイズ可能なLinux暗号化ソフトの1つも開発しており、特に、軽いリソースを必要とする企業組織に好まれるVMware ESXi仮想マシンを標的にするように設計されている。
企業を標的とする他のランサムウェア集団と同様に、Qilinは企業のネットワークに侵入し、被害者のシステムを移動しながらデータを抽出することで活動する。
サーバーの管理者認証情報を取得し、すべての機密データを収集した後、攻撃者はランサムウェアのペイロードを展開し、ネットワークに接続されているすべてのデバイスを暗号化する。
そして、盗んだデータと暗号化されたファイルを活用して二重の恐喝攻撃を行い、標的となった企業に要求に応じるよう圧力をかける。これまでのところ、被害者の規模に応じて2万5000ドルから数百万ドルの身代金要求が確認されている。
Comments