Il gruppo ransomware Qilin dietro i problemi agli ospedali di Londra

L'attacco ransomware che ha causato gravi problemi ai servizi sanitari di Londra avrebbe avuto origine dalle attività criminali del gruppo ransowmare russo Qilin. L'obiettivo dell'attacco è stato Synnovis, un importante fornitore di servizi di analisi e diagnostica per diversi ospedali del Servizio Sanitario Nazionale (NHS) della capitale britannica.

Synnovis è stata colpita lunedì 3 giugno, con i suoi sistemi completamente compromessi e resi inaccessibili. Una situazione che ha avuto ripercussioni sull'operatività degli ospedali Guy's and St Thomas' NHS Foundation Trust, King's College Hospital NHS Foundation Trust e vari fornitori di assistenza primaria nel sud-est di Londra. Le visite, gli esami, le trasfusioni di sangue e alcuni interventi chirurgici non urgenti sono stati posticipati, annullati o dirottati verso altre strutture.

Ciaran Martin, ex-CEO del National Cyber Security Center, sostiene che l'obiettivo di Qilin sia semplicemente economico, ritenendo "improbabile" che i criminali potessero sapere che l'attacco avrebbe causato una reazione a catena con conseguenze tanto pesanti sui servizi di assistenza primaria. In ogni caso al momento i canali che Qilin utilizza normalmente per distribuire i dati raccolti durante le sue scorribande non sono attivi e i dati di Synnovis non sono ancora stati riscontrati nel dark web.

Il Servizio Sanitario Nazionale britannico ha cercato di rassicurare la popolazione, affermando che i servizi urgenti ed emergenziali come pronto soccorso e reparti di maternità rimangono operativi, mentre un team di risposta agli incidenti informatici sta valutandoa l'intera portata dell'attacco e il suo impatto sui dati dei pazienti e dei dipendenti. Al momento i sistemi di Synnovis sono ancora inaccessibili.

L'operazione ransomware Qilin è emersa nell'agosto 2022 inizialmente con il nome "Agenda", ma è stata rapidamente rinominata Qilin nel mese successivo. Fin dal debutto, il gruppo ransomware ha continuato a mietere nuove vittime, con un particolare inasprimento delle attività verso la fine dello scorso anno.

E proprio a dicembre del 2023 il gruppo Qilin ha realizzato uno degli encryptor Linux più avanzati e personalizzabili visti finora, specificamente progettato per colpire le macchine virtuali VMware ESXi, il cui uso è particolarmente diffuso tra le aziende per via delle loro richieste hardware poco onerose.

L'operatività di Qilin è sovrapponibile a quella di altri gruppi ransomware che prendono di mira realtà aziendali: a seguito dell'accesso nell'infrastruttura presa di mira, i criminali raccologono quanti più dati e informazioni riservate riescono, per passare successivamente alla distribuzione del ransomware per crittografare i sistemi connessi alla rete. Questo modus operandi consente loro di effettuare azioni di cosiddetta "doppia estorsione", cioè spingere la vittima a pagare il riscatto per la chiave di decriptazione dietro la minaccia di diffondere i dati sensibili sottratti.