Pazartesi günü patoloji hizmetleri sağlayıcısı Synnovis’i vuran ve Londra’daki birçok büyük NHS hastanesini etkileyen bir fidye yazılımı saldırısı, artık Qilin fidye yazılımı operasyonuyla ilişkilendirildi.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin (NCSC) ilk CEO’su Ciaran Martin, Synnovis’i sistemlerinden kilitleyen ve Guy’s ve St Thomas’ NHS Foundation Trust’ta hizmet kesintilerine neden olmaya devam eden olayın arkasında muhtemelen Qilin’in olduğunu söyledi. , King’s College Hastanesi NHS Foundation Trust ve güney doğu Londra’daki diğer birinci basamak sağlık hizmeti sağlayıcıları.
Martin Çarşamba günü BBC Radio 4’e yaptığı açıklamada, “Kendilerine Qilin adını veren bir Rus siber suçlu grubu olduğuna inanıyoruz.” dedi.
“Onlar sadece para arıyorlar. Şirkete saldırmaya kalkıştıklarında temel sağlık hizmetlerinde bu kadar ciddi bir aksamaya neden olacaklarını bilmeleri pek mümkün değil.”
Synnovis’in müşteri hizmetleri portalındaki bir uyarı şu anda veri merkezi sorunlarına ve tüm sistemlerin şu anda erişilemez olduğuna dair uyarıda bulunuyor.
Synnovis fidye yazılımı saldırısından etkilenen hastane yetkilileri tarafından Salı günü gönderilen notlarda, bu “devam eden kritik olayın” prosedürleri ve operasyonları üzerinde “büyük bir etkisi” olduğu ortaya çıktı.
Etkilenen Londra hastanelerindeki bazı acil olmayan patoloji randevuları, kan nakilleri ve ameliyatlar ya ertelendi, iptal edildi ya da başka sağlayıcılara yönlendirildi.
NHS Çarşamba günü yaptığı açıklamada, A&E, acil bakım merkezleri ve doğum departmanları gibi acil servislerin her zamanki gibi açık olduğunu söyledi. NHS İngiltere’nin siber olay müdahale ekibi şu anda saldırının tüm kapsamını ve hasta ve çalışan verileri üzerindeki etkisini değerlendiriyor.
Bir NHS sözcüsü bugün yaptığı açıklamada, “Tüm acil servisler ve acil servisler her zamanki gibi açık kalacak ve ayakta tedavi hizmetlerinin çoğunluğu normal şekilde çalışmaya devam edecek.” dedi.
“Maalesef, daha çok patoloji hizmetlerine dayanan bazı operasyonlar ve prosedürler ertelendi ve en acil vakalar için kan testlerine öncelik veriliyor, bu da bazı hastaların kan alma randevularının iptal edildiği anlamına geliyor.”
Qilin’in karanlık ağ sızıntısı sitesi şu anda kapalı, ancak bu kesintinin 3 Haziran Pazartesi günü Synnovis’in sistemlerine çarpan fidye yazılımı saldırısıyla bağlantılı olduğuna dair hiçbir kanıt yok.
Qilin fidye yazılımı operasyonu Ağustos 2022’de “Gündem” adı altında ortaya çıktı ancak bir ay sonra Qilin olarak yeniden markalandı.
Çete, kuruluşundan bu yana sürekli bir kurban akışıyla ilişkilendirildi veya bu kişilerle bağlantı kuruldu ve son iki yılda karanlık web sızıntı sitesine 130’dan fazla şirket eklendi. Ancak Qilin operatörleri, 2023’ün sonlarına doğru saldırılar başlayana kadar pek aktif değildi.
Aralık 2023’ten bu yana bu siber suçlular, kurumsal kuruluşların hafif kaynak ihtiyaçları için tercih ettiği VMware ESXi sanal makinelerini hedeflemek üzere özel olarak tasarlanmış, bugüne kadar görülen en gelişmiş ve özelleştirilebilir Linux şifreleyicilerinden birini de geliştiriyor.
İşletmeleri hedef alan diğer fidye yazılımı çetelerine benzer şekilde Qilin, bir şirketin ağlarına sızarak ve kurbanın sistemlerinde dolaşırken verileri çıkararak çalışıyor.
Saldırganlar, sunucular için yönetici kimlik bilgilerini aldıktan ve tüm hassas verileri topladıktan sonra, ağa bağlı tüm cihazları şifrelemek için fidye yazılımı yüklerini dağıtır.
Daha sonra çalınan verilerden ve şifrelenmiş dosyalardan yararlanarak çifte şantaj saldırıları gerçekleştiriyorlar ve hedeflenen şirketlere taleplerini karşılamaları için baskı yapıyorlar. Şu ana kadar BleepingComputer, kurbanın büyüklüğüne bağlı olarak 25.000 dolardan milyonlarca dolara kadar değişen fidye talepleri gördü.