Представители Национального центра кибербезопасности Великобритании (NCSC), заявили, что ответственность за кибератаку, которая затронула несколько крупных больниц в Лондоне, вероятно, лежит на хакерской группировке Qilin.
Напомним, что в начале текущей недели от атаки шифровальщика пострадала компания Synnovis, поставщик лабораторных и диагностических услуг (например, занимающаяся анализами крови для переливания).
В итоге инцидент, которому присвоили статус критического, повлиял на работу нескольких крупных больниц Национальной службы здравоохранения (National Health Service, NHS) в Лондоне, и коснулся пациентов, пользующихся услугами Guy's and St Thomas' NHS Foundation Trust и King's College Hospitals NHS Trust, а также услугами врачей общей практики в Бексли, Гринвиче, Луишеме, Бромли, Саутварке и Ламбете.
Как теперь заявил Киаран Мартин (Ciaran Martin), и.о. генерального директора NCSC, ответственность за случившееся, скорее всего, лежит на группировке Qilin.
«Они попросту охотились за деньгами. Вряд ли они могли знать, что нанесут такой серьезный ущерб системе первичного медицинского обслуживания, когда совершали атаку на компанию», — рассказал Мартин в беседе с BBC Radio 4.
Как отмечает издание Bleeping Computer, в настоящее время даркнет-сайт Qilin не работает, хотя пока неясно, связано ли это отключение с вымогательской атакой на Synnovis и ее последствиями.
Шифровальщик Qilin появился в августе 2022 года и сначала назывался Agenda, но спустя месяц был переименован в Qilin. За последние два года на сайте для утечек, принадлежащем группировке, была опубликована информация о 130 пострадавших от атак компаниях.
Отмечается, что активность группы заметно усилилась в конце 2023 года. Кроме того, с декабря прошлого года хакеры разрабатывают один из наиболее продвинутых и кастомизируемых Linux-шифровальщиков, специально предназначенный для виртуальных машин VMware ESXi, которые часто используются в корпоративной среде.
Подобно другим вымогательским группировкам, Qilin проникает в сети компаний и похищает данные, перемещаясь по системам жертв. Получив учетные данные администраторов и собрав всю конфиденциальную информацию, злоумышленники развертывают вымогательскую малварь, чтобы зашифровать все устройства, подключенные к сети.
После этого группировка использует украденные данные и зашифрованные файлы для двойного вымогательства, вынуждая пострадавшие компании выполнять свои требования. По данным Bleeping Computer, размер выкупа в настоящее время варьируется от 25 000 до нескольких миллионов долларов, в зависимости от размера компании-жертвы.
