Экс-глава Национального центра кибербезопасности говорит, что группа имеет «двухлетнюю историю атак на организации по всему миру»
Группа российских киберпреступников стоит за атакой с использованием программы-вымогателя, которая остановила работу и испытания в крупнейших больницах Национальной службы здравоохранения Лондона, заявил бывший исполнительный директор Национального центра кибербезопасности.
Кьяран Мартин заявил, что нападение на фирму Synnovis, занимающуюся патологоанатомическими услугами, привело к «серьезному сокращению мощностей» и было «очень, очень серьезным инцидентом».
Больницы заявили о критическом инциденте после нападения, отменили операции и анализы, а также не смогли провести переливание крови.
В памятках для сотрудников Национальной службы здравоохранения в больницах Королевского колледжа, Гая и Сент-Томаса (включая детскую больницу Ройал Бромптон и лондонскую детскую больницу Эвелины) и служб первичной медико-санитарной помощи в столице говорится, что произошел « «Крупный ИТ-инцидент».
На вопрос в программе «Сегодня» BBC Radio 4 в среду, известно ли, кто напал на Синновиса, Мартин ответил: «Да. Мы полагаем, что это российская группа киберпреступников, называющих себя Цилинь».
Отдельный источник также подтвердил Guardian, что нападавшей была группа Цилинь. Понятно, что нет никаких признаков того, что атака распространилась на другие подразделения Национальной службы здравоохранения, несмотря на то, что Synnovis имеет контракты с другими фондами Национальной службы здравоохранения по всей стране.
Мартин рассказал Guardian, что атака, похоже, была предпринята как можно более разрушительная для компании, с целью получить выкуп.
«Это действительно похоже на целенаправленную операцию, призванную причинить вред, чтобы им пришлось заплатить», – сказал он.
Однако технологическая компания Synnovis, расположенная в Мюнхене Synlab, в апреле подверглась атаке программы-вымогателя со стороны другой группы, известной как BlackBasta, и, судя по всему, не заплатила выкуп. Обычно банды вымогателей извлекают данные из ИТ-системы жертвы и требуют плату за их возврат.
Данные о взломе итальянского филиала Synlab были полностью опубликованы в Интернете в прошлом месяце, что указывает на то, что выкуп не производился. В Великобритании не является противозаконным платить бандам, занимающимся программами-вымогателями, хотя выплата выкупа противозаконна, если пострадавшее лицо знает или подозревает, что доходы будут использованы для финансирования терроризма.
Мартин сказал, что большинство банд, занимающихся программами-вымогателями, действуют на территории России, хотя и без прямого влияния со стороны российского государства. «Большинство этих групп размещаются в России и терпятся, но не управляются государством. Россия – гигантское убежище для киберпреступности», – сказал он.
Qilin известна как группа, предоставляющая программы-вымогатели как услугу, которая сдает вредоносное ПО другим преступникам в обмен на часть доходов, а также проверяет, кто является мишенью.
По данным исследовательской компании в области криптовалют Chainaанализ, в прошлом году жертвы атак программ-вымогателей выплатили нападавшим рекордные 1,1 миллиарда долларов, что вдвое больше, чем в 2022 году.
Банды программ-вымогателей обычно требуют оплату в криптовалюте, которую, по их мнению, легче перемещать через международные границы, и ее труднее отследить, если используются определенные биржи. По данным Sophos, британской компании по кибербезопасности, средний размер выплат за программы-вымогатели за последний год вырос на 500% до 2 млн долларов (1,6 млн фунтов). NCSC, часть британского разведывательного агентства GCHQ, расследует последствия кибератаки вместе с представителями Национальной службы здравоохранения.
Синновис сообщил, что об инциденте было сообщено в полицию и комиссару по информации, британскому органу по надзору за данными.
Министр здравоохранения Виктория Аткинс написала в среду на X: «Вчера я встречалась с Национальной службой здравоохранения Англии и Национальным центром кибербезопасности, чтобы наблюдать за реакцией на кибератаку на службы патологии на юго-востоке Лондона.
«Моим абсолютным приоритетом является безопасность пациентов и безопасное возобновление оказания услуг в ближайшие дни».
Генеральный директор Synnovis Марк Доллар заявил, что целевая группа ИТ-экспертов Synnovis и Национальной службы здравоохранения работает над полной оценкой последствий и необходимых действий.
По данным журнала Health Service Journal, один из высокопоставленных источников сообщил, что получение доступа к результатам патологоанатомических исследований может занять «недели, а не дни».
