Güney Londra’da birinci basamak sağlık hizmetlerini kesintiye uğratan ve NHS’yi kritik bir olay ilan etmeye zorlayan, sağlık hizmeti laboratuvarı ortağı Synnovis’e yönelik gelişen siber saldırının arkasında Rusya merkezli, finansal motivasyona sahip Qilin fidye yazılımı çetesi muhtemelen var.
İlk olarak 3 Haziran Pazartesi günü tespit edilen saldırı, başta Guy’s ve St Thomas’ NHS Foundation Trust (Royal Brompton ve Evelina hastaneleri dahil) ve King’s College NHS Foundation Trust olmak üzere bir dizi NHS vakfını ve aynı zamanda Güney Londra ve Maudsley NHS Foundation Trust ve Oxleas NHS Foundation Trust’ın yanı sıra Bexley, Bromley, Greenwich, Lambeth, Lewisham ve Southwark’taki pratisyen hekim ameliyatları, klinikleri ve hizmetleri de Synnovis hizmetlerine dayanmaktadır.
BBC’ye konuşan Bugün Programı 5 Haziran Çarşamba günü, eski Ulusal Siber Güvenlik Merkezi (NCSC) genel müdürü Ciaran Martin, mevcut inancın olayın arkasında Qilin olduğu yönünde olduğunu söyledi.
Martin, çetenin muhtemelen hızlı bir kazanç elde etmek istediğini ve muhtemelen Synnovis’e saldırdığında bu kadar yoğun bir aksamaya neden olmayı beklemediğini söyledi. Birleşik Krallık hükümetinin kamu sektörü kuruluşlarının fidye ödemesine izin vermeme politikası sayesinde çetenin herhangi bir para alması ihtimalinin düşük olduğunu ancak Synnovis’in bir özel sektör kuruluşu olarak bu tür kısıtlamalar altında olmadığını belirtti.
Bu hafta kalp ameliyatı geçirmesi planlanan bir hasta BBC’ye, ameliyatın iptal edildiğini son dakikada, ameliyatı gerçekleştirecek cerrahın kendisine kan bankasında bir sorun olduğunu söylemesi üzerine öğrendiğini söyledi.
Almanya merkezli laboratuvar teşhis hizmetleri uzmanı Synlab ile ilgili NHS vakıfları arasında ortak girişim olarak kurulan Synnovis’in CEO’su Mark Dollar, aksaklıktan dolayı özür diledi.
“Bu durumun hastalara, hizmet kullanıcılarına ve etkilenen diğer kişilere verdiği rahatsızlık ve üzüntüden dolayı inanılmaz derecede üzgünüz. Etkiyi en aza indirmek için elimizden geleni yapıyoruz ve insanları gelişmelerden haberdar etmek için yerel NHS hizmetleriyle iletişim halinde kalacağız” dedi Dollar.
Kendisi, Synnovis’in gerçekten de bir fidye yazılımı saldırısıyla karşı karşıya olduğunu doğruladı ancak henüz erken olduğunu ve örgütün hâlâ olayla ilgili gerçekleri ortaya çıkarmak için çalıştığını söyledi.
Mark Dolar, Synnovis
“Synnovis ve NHS’den BT uzmanlarından oluşan bir görev gücü, bunun yarattığı etkiyi tam olarak değerlendirmek ve gereken uygun eylemi gerçekleştirmek için çalışıyor. Hastalar ve diğer hizmet kullanıcıları üzerindeki etkiyi en aza indirmek için NHS güven ortaklarıyla yakın işbirliği içinde çalışıyoruz… Ne yazık ki bu durum hastaları etkiliyor; acil çalışmalara öncelik verildiği için bazı faaliyetler zaten iptal edildi veya başka sağlayıcılara yönlendirildi” dedi.
“Synnovis’te siber güvenliği çok ciddiye alıyoruz ve BT düzenlemelerimizin olabildiğince güvenli olmasını sağlamak için büyük yatırımlar yaptık. Bu, bu tür bir saldırının herhangi bir zamanda herkesin başına gelebileceğinin ve moral bozucu bir şekilde, arkasındaki kişilerin eylemlerinin kimi etkileyeceği konusunda hiçbir tereddütlerinin olmadığının sert bir hatırlatıcısıdır” dedi Dollar.
NHS İngiltere – Londra Bölgesi sözcüsü şunları söyledi: “3 Haziran Pazartesi günü, laboratuvar hizmetleri sağlayıcısı Synnovis, bir fidye yazılımı siber saldırısının kurbanı oldu.
“Bu durum, Guy’s ve St Thomas’ta, King’s College Hastanesi NHS Foundation Trusts’ta ve Londra’nın güneydoğusundaki birinci basamak sağlık hizmetlerinde sunulan hizmetlerin üzerinde önemli bir etki yaratıyor ve bunun hastalara ve ailelerine verdiği rahatsızlıktan dolayı özür dileriz.
“Acil bakım mevcut olmaya devam ediyor, bu nedenle hastalar acil durumlarda 999’u, aksi takdirde 111’i arayarak hizmetlere normal şekilde erişmeli ve hastalar aksi söylenmedikçe randevulara gelmeye devam etmelidir. Yerel hastalara ve halka, hizmetlerin üzerindeki etkisi ve ihtiyaç duydukları bakımı nasıl almaya devam edebilecekleri konusunda güncellemeler sağlamaya devam edeceğiz.”
Olay kolluk kuvvetlerine ve Bilgi Komiserliği Ofisine (ICO) bildirildi ve olayla ilgili olanlar NCSC’den destek alıyor.
Sağlık giderek daha fazla saldırıya uğruyor
Synnovis mağduriyetinin fırsatçı mı yoksa hedefli mi olduğu henüz belirlenmemiş olsa da sağlık sektörü, fidye yazılımı çetelerinin en sık saldırdığı sektörlerden biri.
Gerçekten de, Blackfog’un Mayıs 2024’ü kapsayan en son aylık fidye yazılımı raporuna göre, bu dönem içinde bilinen 57 vakayla, yalnızca birkaç hafta içinde %30 artışla şu anda “en çok” saldırıya uğrayan yazılım oldu.
Sadece NHS değil, dünyanın her yerindeki sağlık sistemleri birçok nedenden dolayı bu tür saldırılara karşı özellikle savunmasızdır: büyük miktarda son derece hassas ve değerli veri tutarlar; çoğu zaman eski teknolojiye güvenmek, birçok NHS vakfı için özellikle ciddi bir sorundur; burada olduğu gibi üçüncü taraf tedarikçiler aracılığıyla uzlaşma riskine oldukça maruz kalıyoruz; ve öncelikle ve haklı olarak hasta bakımına odaklandıkları için klinik personele yönelik güvenlik farkındalığı eğitimini ihmal edebilirler.
Saldırıların hacmindeki önemsiz olmayan bir faktör, devlet tarafından değil, kâr amacıyla özel şirketler tarafından işletilen Amerikan sağlık sistemlerinin fidye ödeme konusunda herhangi bir yasal kısıtlamaya sahip olmaması ve kesintiyi önlemek için bunu yapmaya daha istekli olabileceği gerçeğidir.
Qilin’den büyüyen tehdit
Adını efsanevi bir Çin kimerasından alan Qilin mürettebatı ilk kez 2022’de gözlemlendi ancak son aylarda LockBit ve ALPHV/BlackCat gibi operasyonların kesintiye uğramasıyla oluşan boşluklara doğru genişlemeye başladı.
Compareitech’e göre çete, 2023 yılında onaylanmış sekiz saldırıdan sorumluydu ve bu yıl şu ana kadar 30’dan fazla saldırıyı üstlendi.
Hizmet olarak fidye yazılımı operasyonu, kurbanlarına baskı yapmak için artık standart olan çifte şantaj taktiğini kullanıyor. Fidye yazılımı dolabı, Rust ve Golang platformlar arası kodlama dillerini kullanıyor ve çoğunlukla kimlik avı e-postaları yoluyla yayılıyor, ancak uzak masaüstü protokolü ve Citrix de dahil olmak üzere açıkta kalan uygulamaları ve arayüzleri kullandığı da biliniyor.
2024’ün başlarında, Birleşik Krallık merkezli yayıncı ve sosyal girişim The Big Issue’nun sistemlerine saldırarak 500 GB’ın üzerinde personel ve iş ortağı bilgilerini, sözleşmeleri, finansal ve yatırım verilerini çaldı.