一场网络攻击于周一导致多家伦敦医院宣告紧急状态,这一事件被认为是由 RansomwareasaServiceRaaS组织 Qilin 发起的。前国家网络安全中心首席执行官 Ciaran Martin 在周三的 BBC Radio 4 Today 节目中透露,Qilin 是一个以财务获利为动机的俄罗斯组织,采用双重勒索策略,不仅加密数据,还威胁如果不支付赎金就会公开数据。
此次攻击针对的是 Synnovis,这是盖伊医院和圣托马斯医院 NHS 基金会信托与国王学院医院 NHS 信托的合作项目,负责提供欧洲最大的医疗测试与诊断服务。Synnovis CEO Mark Dollar 在周二的声明中表示,由于系统的妥协与数据加密,导致两家 NHS 医院的病理服务受到影响,以及贝克斯利、格林尼治、刘易舍姆、布拉姆利、南华克和兰贝斯等地区多个全科医生服务中断。
攻击的后果包括推迟非紧急病患护理以及将需要输血的手术转移到未受影响的医院。“NHS 系统是网络犯罪分子的主要目标,因为一个小小的漏洞就能影响多个实体。这又是一个说明为何漏洞控制至关重要的例子在入口处控制攻击可以显著降低漏洞的影响。”Illumio 关键基础设施总监特雷弗迪林在 email 中对 SC Media 说:“‘混乱因素’造成大规模社会动荡的行为,现已成为许多网络攻击的驱动力,而医疗行业是少数几个网络攻击可能致命影响人类生命的行业之一。”
Qilin,亦称为 Agenda,是一个在2022年7月首次出现的 RaaS 提供商。根据 SentinelOne 对该组织的介绍,Qilin 通常针对高价值目标,如企业,并且也以双重勒索攻击闻名于医疗和教育领域。
火烧云机场Qilin 勒索软件有 Golang 和 Rust 版本,其中 Rust 版本尤其具有规避能力、可自定义且难以解码。根据 Cyberint 在2024年3月发布的分析,这种勒索软件提供多种加密模式,操作者可进行控制,且通常通过附有钓鱼邮件的恶意链接传播。
Qilin 自称攻击了包括英国、美国、加拿大、巴西、法国和日本在内的多个国家的受害者。其攻击还包括美国的 Upper Marion Township宾夕法尼亚州、Etairos Health 和 Kevin Leeds CPA 以及中国的 Yanfeng Automotive Interiors。
“与其他 RaaS 操作一样,Qilin 勒索软件的攻击不针对特定国家或行业,尽管其大多数受害者都是位于北美和西欧的组织。医疗设备及服务在受影响行业中排名第二,仅次于商业和专业服务。”暗网威胁情报公司 Searchlight Cyber 的高级威胁情报分析师路易斯费雷特告诉 SC Media,“这类受害者显然主要受到机会因素的影响,以及威胁行为者认为哪些组织和地区愿意并能够支付更高的赎金。”
周三,The Record 报道称,Qilin 的暗网勒索网站突然不可用,并显示 0xF2 错误,这通常发生在暗网网站需要迁移至新服务器时。然而,Emsisoft 威胁分析师布雷特卡洛在周三下午报告称,该暗网网站已恢复,但“加载速度极慢”,而该组织的清晰网页似乎
