.
Entrevista A gangue de ransomware responsável pela atual crise de saúde nos hospitais de Londres afirma não se arrepender do ataque, que foi totalmente deliberado, disse. O registro em uma entrevista.
Hospitais de Londres ficaram em estado crítico após ataque de ransomware
CONSULTE MAIS INFORMAÇÃO
Qilin diz que a Synnovis, uma parceria entre a empresa de serviços de patologia SYNLAB e dois London NHS Trusts, não foi alvo por acidente. Questionado se sabia que ocorreria uma crise de saúde na capital, caso tivessem sucesso, um porta-voz do grupo disse: “Sim, sabíamos disso. Esse era o nosso objetivo”.
Eles acrescentaram que o ataque teve motivação política: “Todos os nossos ataques não são acidentais. Escolhemos apenas as empresas cuja gestão está direta ou indiretamente afiliada às elites políticas de um determinado país. Os políticos desses países não cumprem a sua palavra , eles prometem muito, mas não têm pressa em cumprir suas promessas.”
Sem nomear especificamente quaisquer países ou eventos, e num inglês vagamente incoerente, aludiram a políticos que recusavam medicamentos de “alta qualidade” a outros países, ao mesmo tempo que mantinham “um céu pacífico” acima das suas próprias cabeças.
Os especialistas também questionaram a explicação política, dado que o gangue tem sido mais oportunista do que idealista nos seus alvos.
Por exemplo, SOCRadar disse na semana passada como Qilin é conhecido por visar os setores de saúde e educação não por causa da política, mas por causa da confiança que depositam no tempo de atividade e na sensibilidade dos dados que possuem.
Louise Ferrett, analista sênior de inteligência de ameaças da Searchlight Cyber, questionou a suposta ideologia do ataque, sugerindo que ele poderia ter sido fabricado, dada a atenção da mídia em torno do incidente.
“Qilin era considerado um ator de ameaça com motivação financeira, portanto os alvos políticos não se alinham com o seu modus operandi habitual”, disse ela. “É possível que, neste caso, a quadrilha tenha decidido misturar o ganho financeiro com a comprovação de uma questão política.
“No entanto, também é possível que este não tenha sido um alvo deliberado, mas – à medida que o ataque se tornou uma grande notícia devido ao seu impacto nos hospitais – Qilin aproveitou a oportunidade para reforçar a sua reputação e desempenhar o papel dos nobres hacktivistas”.
Apesar da intenção deliberada do ataque, Qilin disse, de forma um tanto indireta, que era solidário com o povo de Londres que agora está sofrendo como resultado.
“Simpatizamos sinceramente com os residentes comuns de Londres e de outras cidades britânicas que se tornaram reféns desta situação”, disse o porta-voz. O registro. “Mas nunca nos arrependeremos do que fizermos, porque isto é uma luta.
“Esperamos que ninguém tenha ficado ferido e pedimos às pessoas comuns que pensem sobre os verdadeiros problemas que levaram a esta situação”.
Mas, claro, as pessoas estão sofrendo em Londres neste momento. Mais de 1.500 operações e consultas já foram canceladas, de acordo com a atualização do NHS de 14 de junho – um número que quase certamente aumenta a cada dia.
Já se contam histórias de londrinos idosos que tiveram procedimentos cruciais cancelados e que subsequentemente viram a sua condição tornar-se terminal se não fossem rapidamente reorganizados.
Resgate de US$ 50 milhões
A principal questão em torno de qualquer ataque realizado por uma gangue de ransomware é a quantia de dinheiro que eles exigem em troca da não publicação dos dados.
Qilin nos disse que o pedido de resgate foi fixado em US$ 50 milhões, mas a própria gangue finalmente “interrompeu todas as conversas e cortou o contato” depois que a Synnovis supostamente parou por muito tempo.
“A empresa teve tempo suficiente para tomar a decisão certa”, disse o porta-voz.
Questionada sobre as alegações feitas pelos criminosos, a Synnovis recusou-se a comentar detalhes, apenas dizendo que “a nossa investigação está em curso”.
“A Synnovis está ciente de relatos de que um terceiro não autorizado assumiu a responsabilidade por este recente ataque cibernético. Nossa investigação sobre o incidente continua em andamento, incluindo a avaliação da validade das reivindicações de terceiros e a natureza e o escopo dos dados que podem ser afetados.
“Notificamos as autoridades relevantes, incluindo o Gabinete do Comissário de Informação (ICO), e continuamos a trabalhar com o NCSC e especialistas terceirizados que estão auxiliando em nossa investigação. Assim que mais informações forem conhecidas, reportaremos de acordo com os requisitos da ICO e priorizaremos a notificação de quaisquer indivíduos ou parceiros afetados, conforme necessário.”
Qilin disse acreditar que US$ 50 milhões era um “preço justo”, considerando sua alegação de ter roubado mais de um terabyte de dados, que nos disse que todos deveriam vazar “nos próximos dias”.
Desde que nossa entrevista com Qilin foi realizada, Synnovis apareceu no blog de vazamento da gangue em uma postagem que afirma que todos os dados da empresa serão vazados hoje, 20 de junho.
Reivindicação de dia zero
Questionado sobre como Qilin ganhou uma posição inicial nos sistemas da Synnovis, Qilin não revelou muitos detalhes.
“Não podemos responder a esta pergunta, especialmente de graça.”
As gangues de ransomware costumam se promover como especialistas em testes de penetração que oferecem um serviço especializado pela bondade de seus corações, em vez de admitirem que são criminosos.
Isto poderia explicar a falta de resposta, ou simplesmente o facto de que revelar o seu ofício pode impedir futuros ataques cibernéticos.
No entanto, Qilin afirmou que usava uma vulnerabilidade de dia zero, mas não especificou em qual produto essa vulnerabilidade foi encontrada ou como a adquiriu.
Mais uma vez, perguntamos à Synnovis e ao NCSC do Reino Unido sobre isso, mas nenhum deles ofereceu uma confirmação ou negação sobre o assunto.
Ferrett, no entanto, disse que é perfeitamente possível que Qilin seja uma gangue de ransomware sofisticada que foi capaz de obter seus próprios dias zero.
“Já observamos anteriormente operadores de ransomware explorando vulnerabilidades de dia zero para comprometer suas vítimas, especialmente gangues maiores e mais estabelecidas”, disse ela. “Qilin se enquadra nesse perfil, então não há razão específica para duvidar de suas afirmações.
“Vimos o grupo em fóruns de hackers procurando recrutar ‘pentesters’ experientes, então é possível que alguém dentro do grupo ou um de seus afiliados tenha identificado uma vulnerabilidade de dia zero que permitiu esse ataque.”
No entanto, deve também notar-se que os crimes cibernéticos são conhecidos por inflacionar as suas reivindicações e, no passado, rotularam qualquer exploração de vulnerabilidade como o chamado dia zero. Assim, como sempre, com os relatos de criminosos, é aconselhável considerar as palavras de Qilin com cautela.
Tal como aconteceu com os detalhes sobre a intrusão, Qilin mostrou-se igualmente tímido quando questionado sobre a própria organização, nomeadamente a sua composição e localização: “Temos centenas de associados, mas não podemos dizer nada especificamente sobre nenhum deles. .”
Apesar de ter o nome de uma criatura mitológica chinesa, acredita-se que Qilin seja uma operação que sai da Rússia. Opera de forma semelhante a outros na Rússia no passado e parece ter como alvo organizações ocidentais e não aquelas de países aliados da Rússia, o que lhe permitiria manter o seu estatuto protegido no Kremlin. ®
.
