Ransomwarebende lekt 380GB aan patiëntendata van Engelse zorgorganisatie

De ransomwarebende Qilin heeft 380GB aan gevoelige patiëntengegevens gepubliceerd. De data is afkomstig van Synnovis, een pathologiedienst die samenwerkt met de Britse National Health Service. De NHS start een hulplijn om vragen van klanten en personeel te beantwoorden.

Volgens The Guardian heeft Qilin tijdens de hack van 3 juni 300 miljoen patiëntgerelateerde documenten buitgemaakt. De gestolen bestanden bevatten onder meer de uitslagen van bloedonderzoeken, bloedtransfusies, tests op kanker en soa’s en informatie met betrekking tot orgaantransplantaties. De hoeveelheid is dusdanig groot omdat er gegevens zijn bemachtigd van tests die patiënten "een aanzienlijk aantal jaren" geleden hebben ondergaan.

Het is niet duidelijk of Qilin alle gestolen gegevens heeft gelekt. Het publiceren van deze bestanden is meestal een teken dat het slachtoffer heeft geweigerd om losgeld te betalen om de versleutelde IT-systemen weer toegankelijk te maken en de gestolen data te verwijderen. Naar verluidt eiste Qilin 50 miljoen dollar losgeld van Synnovis.

Naast de buitgemaakte gegevens heeft de hack ook een impact op de werking van verschillende ziekenhuizen en dokterspraktijken in Londen. Dit komt omdat verschillende IT-systemen offline zijn gehaald. NHS England noemt meer dan 1000 geschrapte operaties en 2000 uitgestelde afspraken.

Reacties (49)

wildhagen

Hackers
Beveiliging en antivirus
Ransomware
Verenigd koninkrijk
Datalek

21 juni 2024 17:02

Naar verluidt eiste Qilin 50 miljoen dollar losgeld van Synnovis.

Wow. Er gaan wel vaker flinke bedragen aan geëist losgeld rond bij ransomware-groeperingen, maar dit zijn volgens mij wel redelijk ongebruikelijk hoge getallen die we niet zo vaak zien.

Wel terecht overigens dat NHS/Synnovis niet betaald heeft. Ten eerste is dat belastinggeld wat verspild zou worden.

Ten tweede beloon je dan in feite dit soort (ransomware-)aanvallen waardoor je in de toekomst nog vaker onder vuur kunt komen te liggen (je hebt immers al aangetoond te willen betalen, dus waarom geen tweede poging doen?). Betalen houdt ransomware-aanvallen in stand, want het maakt het tot een lucratief businessmodel: relatief lage pakkans, relatief weinig werk/moeite, en relatief goed betalend. Dat is dus relatief makkelijk geld verdienen voor die clubs.

En ten derde is betalen géén garantie dat ze je gegevens niet alsnog op straat gooien. Dat gebeurt ook wel vaker, LockBit heeft dat in het verleden enkele malen gedaan bijvoorbeeld.

Hopelijk valt de schade voor de mensen uiteindelijk allemaal mee en waait dit hele gebeuren snel over.

Polderviking

@wildhagen • 21 juni 2024 17:19

Ik vraag me ook wel af hoe je dat soort geldbedragen onder de radar houd van nodige instanties.
Als er opeens mensen boven een bepaalde standaard gaan leven zou je wel verwachten dat dat andere mensen (c.q. instanties) op gaat vallen.
Ze willen tegenwoordig al van alles weten als je een beetje quasi serieus bedrag in contanten wil.

sys64738 Moderator F&V @Polderviking • 21 juni 2024 17:25

Bitcoin is your friend. Moeilijk tot niet te traceren en ideaal voor dit soort dingen. En daarna inderdaad niet enorm dom gaan lopen doen. Van je helpdesk salarisje kun je geen Lamborghini kopen.

Maar voor dit soort misdrijven mogen wat mij betreft gigantische straffen worden uitgedeeld. Door het lekken van die soort info maakt je gewoon mensenlevens kapot. Het is echt gewetenloos.

Polderviking

@sys64738 • 21 juni 2024 17:27

Ja ik begrijp dat ze dat met crypto doen maar dat blijft ongetwijfeld niet eeuwigdurend in zo'n cryptowallet zitten. Ergens gaat dat geld een keer uitgegeven worden.

Lisadr @Polderviking • 21 juni 2024 17:41

Er zijn een aantal plekken waar er geen onderscheid is tussen zwart en wit geld. Plekken zoals Dubai waar je vroeger met koffers geld en al jaren met crypto onroerende goederen kunt kopen zonder enige controle op de afkomst van je geld.

voxl_ @Polderviking • 21 juni 2024 18:12

Via monero en hup, nergens te detecteren. Ja misschien koopt iemand opeens iets groots, maar dat kan 1000 goede dingen betekenen, niet waard om ervoor te controleren.

Stijnvi @Polderviking • 22 juni 2024 01:52

Dit soort criminelen bevindt zich normaliter niet in landen waar betalingen erg strak gecontroleerd worden, maar juist in landen waar geld letterlijk macht koopt.

Verwijderd @sys64738 • 21 juni 2024 17:40

Bitcoin is te traceren by design. Het is immers een publiekelijke database van transacties. Er zijn manieren om het moeilijk te maken, maar die zijn ook niet 100%.

Als je ontraceerbaar wil moet je bij Monero zijn.

Triblade_8472 @Verwijderd • 21 juni 2024 18:15

Zeker!

Het probleem is alleen dat er landen zijn die niks doen met die informatie.

Ik geloof er niks van dat er bijvoorbeeld in China zo'n probleem van wordt gemaakt als criminele bitcoin worden gewassen in dollars. Zeker niet als het land er een procentje of wat ervan meepikt.

casd18 @Verwijderd • 21 juni 2024 20:42

Je had niet heel lang geleden Tornado Cash. Totaal onnavolgbaar. Toegeven die specifieke aanbieder zit nu in de cel volgens mij. Maar er zijn vast andere partijen die vergelijkbare diensten aanbieden.

kodak

Datalek
Hack
Beveiliging en antivirus
Ransomware
Hackers

@Polderviking • 21 juni 2024 17:59

Wereldwijd zij die controles er niet overal of voor iedereen. Lees het nieuws over corruptie, witwassen enz er maar eens op na.

Daarbij is het mensen die enorm veel geld verkrijgen niet perse maar te doen om het ook in grote hoeveelheden uit te geven. Eerder is men bezig meer en meer geld te willen en met het uitoefenen van macht dat vermeerderen in stand te houden. Deze criminelen zijn duidelijk met macht bezig, zowel om heel veel mensen om heel persoonijke omstandigheden te onderdrukken als om zo meer en meer geld te verkrijgen. En als de verdachten gepakt worden is dat meestal niet in een heel luxe omgeving. Ze vallen dus niet zomaar op.

RobbieB @Polderviking • 21 juni 2024 18:14

Deze partijen zitten allemaal in Rusland, sterker, ze weten vaak precies wie de kopstukken zijn.

cariolive23 @Polderviking • 21 juni 2024 19:02

Waarom zou je? De groep lijkt uit Rusland te komen. Als dat waar is, hoef je alleen maar een percentage af te dragen aan de locale (politie/belasting) ambtenaar en er is niks aan de hand. Daarnaast zou het nog een groep kunnen zijn die dit in opdracht van de overheid doet, dan gaat het geld ook daar heen.

Corruptie doet wonderen om vrij te blijven.

5pë©ïàál_Tèkén @wildhagen • 21 juni 2024 17:24

relatief weinig werk/moeite

En daar ben ik het nou net niet mee eens. Heel verdacht van me natuurlijk

.
Voordat een hackersclub alles versleuteld en losgeld eist gaat er best veel tot heel veel werk vooraf. Het binnendringen, het binnen kunnen blijven dringen, user level elevation/root credentials bemachtigen/nieuwe users aanmaken, cruciale processen & bestanden in beeld brengen (want makkelijk vervangbare bestanden leveren niks op als ze versleuteld zijn), back ups infecteren - dit alles zonder argwaan te wekken bij de IT beveiliging. Door te zeggen dat hackers relatief weinig/simpel werk doen, kan het simplificerend overkomen. Terwijl dit juist heel complexe zaken zijn waar maanden aan werk aan vooraf zijn gegaan.

[Reactie gewijzigd door 5pë©ïàál_Tèkén op 22 juli 2024 14:40]

Bospaddenstoel @5pë©ïàál_Tèkén • 21 juni 2024 17:34

Hospita zijn vaak het doelwit doordat zij vaker te kampen hebben met slechte cybersecurity. Ze zijn low-hanging fruit.

voxl_ @Bospaddenstoel • 21 juni 2024 18:15

Confirmation bias - meeste groepen hebben geen doelwit behalve random ip addressen met random open poorten waar random exploits op worden geprobeerd. 99.9% is automatisch. Ons bedrijf was de klos een tijdje terug door een misgeconfigureerde nginx instance. Ik heb de source code van de “exploit” gewoon op github gevonden (of via telegram… in ieder geval makkelijk te vinden). Is gewoon een random ip generator + een lijst aan random attacks. En ja, ons bedrijf heeft betaald, onze rechters raadden dat aan, en zeggen dat ze dat eigenlijk altijd aanraden.

cariolive23 @voxl_ • 21 juni 2024 19:03

Wat heeft een rechter hier nou mee te maken?

voxl_ @cariolive23 • 21 juni 2024 23:06

Sorry, bedoelde advocaten / adviesbureau’s.

[Reactie gewijzigd door voxl_ op 22 juli 2024 14:40]

Stijnvi @wildhagen • 21 juni 2024 17:37

volgens mij wel redelijk ongebruikelijk hoge getallen die we niet zo vaak zien.

De KNVB werd om 1 miljoen gevraagd volgens RTL, en die documenten hebben natuurlijk nul impact. Hier gaat het om veel meer documenten met heel veel meer impact, dus 50 miljoen vind ik niet schrikbarend veel.
Het gaat hier om 300 miljoen documenten, oftewel 12,5 cent per document.

Ten eerste is dat belastinggeld wat verspild zou worden.

Als je het mij vraagt is het beschermen van patiëntengegevens nou niet echt een 'verspilling'.
Bovendien zal het printen van de documenten ongeveer net zoveel hebben gekost.
En met alle respect, 50 miljoen is voor de overheid echt wisselgeld. Het budget voor de NHS dit jaar is namelijk maarliefst 165 miljard pond. Het gaat dus om minder dan 0,03% van het jaarlijkse budget.
Dat zou in Nederland ruim onder de grens van 1% voor onrechtmatige bestedingen vallen.

Betalen houdt ransomware-aanvallen in stand, want het maakt het tot een lucratief businessmodel: relatief lage pakkans, relatief weinig werk/moeite, en relatief goed betalend. Dat is dus relatief makkelijk geld verdienen voor die clubs.

Niet betalen haalt ook niks uit, want voor jou zijn er waarschijnlijk wel honderd anderen die wel willen betalen. Als het inderdaad om volledige documenten met patiëntengegevens gaat dan is deze informatie uiterst waardevol.
Niet alleen koop je namelijk persoonsgegevens, maar ook informatie waarmee je mensen kan chanteren, zoals bijvoorbeeld informatie over soa's.
Of misschien nog wel veel persoonlijkere gegevens.

En ten derde is betalen géén garantie dat ze je gegevens niet alsnog op straat gooien.

Nee, betalen is misschien geen garantie dat het niet gebeurt. Maar niet betalen is wel een garantie dat de gegevens wel openbaar worden gemaakt.
En in veel gevallen houden dit soort groepen zich wel aan hun woord, omdat ze anders hun reputatie verliezen en niemand meer betaalt.

Hopelijk valt de schade voor de mensen uiteindelijk allemaal mee en waait dit hele gebeuren snel over.

Ik hoop het ook, maar ik ga er persoonlijk niet vanuit.

evilution @wildhagen • 21 juni 2024 17:44

[...]

Wow. Er gaan wel vaker flinke bedragen aan geëist losgeld rond bij ransomware-groeperingen, maar dit zijn volgens mij wel redelijk ongebruikelijk hoge getallen die we niet zo vaak zien.

Qilin wordt gelinkt aan Rusland. Putin heeft geld nodig.

TitusV @evilution • 22 juni 2024 09:48

Ik heb nog nergens bewijs gezien dat dit een state-funded organisatie is, dus ben benieuwd naar de bewijzen voor je stelling dat dit door de Russische overheid gesteund of georganiseerd zou zijn.
Er zijn ook veel criminelen in Rusland die niet gelieerd zijn aan de overheid aldaar.

d3burt

@TitusV • 24 juni 2024 11:22

Zover bekend worden de randomware bendes in Rusland inderdaad niet aangestuurd door het Kremlin. Maar zolang ze van Russische doelen afblijven worden ze getolereerd, en sinds het begin van de speciale operatie in Ukraine lijken ze zich op zijn minst aangemoedigd te voelen. Het is opvallend hoe de gezondsheidszorg nu echt een target is geworden.

Het enige wat Westerse politiediensten er tegen lijken te kunnen doen is een aanklacht uitschrijven als er voldoende bewijs is. Dat klinkt als een halve maatregel, maar de boefjes hebben er aardig last van als binnen Rusland hun naam, adres en bitcoin saldo bekend zijn.

HugotheGreat @wildhagen • 22 juni 2024 07:49

Allemaal relatief natuurlijk

witstert @wildhagen • 22 juni 2024 15:26

Curious about whether my data is there. Is there a way of finding out?

phantom09 @wildhagen • 22 juni 2024 21:56

Ik vindt het ronduit schandalig om ziekenhuizen te chanteren. Er kunnen levens op het spel staan !

Verwijderd @wildhagen • 21 juni 2024 17:11

Hopelijk valt de schade voor de mensen uiteindelijk allemaal mee en waait dit hele gebeuren snel over.

Informatie met, onder andere, uitslagen van soa tests? Daar gaan, in bepaalde religieuze delen van de bevolking, levens mee verwoest worden.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:40]

downtime @k995 • 21 juni 2024 17:54

Ik denk dat je een beetje naief bent. Er zijn zoveel van die types die zich als moraalpolitie voor hun eigen familie of gemeenschap opstellen, die gaan in deze data gegarandeerd op zoek naar namen van bekenden en familie.

Mugiwaraya

21 juni 2024 17:10

Het is onbegrijpelijk dat onmenselijke monsters zoals deze groep zorginstellingen als doelwit kiezen. Hoe kun je zo gewetensloos zijn om zorginstellingen en de kwetsbaren in onze samenleving aan te vallen? Dit soort daden zijn het absolute dieptepunt die je als mens zijnde kunt bereiken. Alhoewel ik het niet gauw zie gebeuren, hoop ik echt van harte dat de daders worden opgepakt en de allerzwaarste straf opgelegd krijgen...

telenut @Mugiwaraya • 21 juni 2024 18:17

ze gaan zelden bewust op zoek, ze proberen gewoon op zo veel mogelijk plaatsen binnen te raken, en eens binnen zien ze wel.
Velen stoppen als ze door hebben dat het een ziekenhuis is. Maar zeker niet allemaal, en dan is het nog afhankelijk van wat voor ziekenhuis... en welke gegevens

cariolive23 @Mugiwaraya • 21 juni 2024 19:12

Rusland heeft daar niet zoveel problemen mee, in de Ukraine worden ziekenhuizen tenslotte ook gebombardeerd.

FairPCsPlease @Mugiwaraya • 22 juni 2024 05:14

Inderdaad. Terwijl het zo eenvoudig zou zijn (ook ten aanzien van de schade die grote bedrijven bijvoorbeeld aan klimaat en milieu aanrichten), vraag je bij alles wat je doet af 'schaad ik hier anderen mee?' of de gulden regel 'zou ik zelf ook zo behandeld willen worden, als ik anderen behandel?'. Tegelijkertijd besef ik dat niet iedereen denkt zoals ik denk en met al mijn handelen afweeg wat de impact op de rest van de wereld is. Bedriegen zit in de evolutie ingebakken, denk maar aan de koekoek die zijn eieren in het nest van andere vogels legt, na daar de eieren van die andere vogel te hebben uitgeknikkerd of de sluipwesp die zijn eieren in levende insecten stopt, hen daarbij paralyserend zodat ze door de uitkomende sluipwespjes levend kunnen opgegeten, lekker vers. Zo trouwens een mooie straf zijn voor die bende, Qilin?

[Reactie gewijzigd door FairPCsPlease op 22 juli 2024 14:40]

Anck 21 juni 2024 19:40

Het is niet duidelijk of Qilin alle gestolen gegevens heeft gelekt.

Als er 300 miljoen bestanden in deze release van 380GB zaten, zou een gemiddeld bestand minder dan 2KB zijn. Waarschijnlijk is dit slechts een klein deel van de gestolen gegevens. Misschien om te bewijzen dat het ze ernst is?

Stijnvi @Anck • 22 juni 2024 01:55

Het zou goed kunnen hoor. Tenzij je röntgenfoto's e.d. meeneemt is het natuurlijk eigenlijk allemaal plain text.
In pdf vorm is dat slechts zo'n 10kb per pagina, maar in een simpel format lijkt me 2kb best haalbaar.

Freakie1NL 21 juni 2024 17:12

Eens met @wildhagen ten aanzien van redenen om niet te betalen. Het zou echter wel enorm veel impact kunnen hebben op mensen waarvan data is gelekt, gezien het een zorgorganisatie betreft.

Daarom zouden landen ook veel beter moeten samenwerken om dit een halt toe te roepen. Allereerst strafbaar maken om te betalen, dit aanmerken als terrorisme en daders / verdachten op lijsten zetten waardoor ze in hun vrijheden beperkt worden. Nu scharen ze zich veilig achter de landsgrenzen.

Unknowntje 21 juni 2024 17:24

Als je de naam van de bende opzoekt..op telegram is het al raak

telenut @Unknowntje • 21 juni 2024 18:18

dan moet je toch weten op welke termen je daar moet zoeken...

HakanX @telenut • 21 juni 2024 18:27

Wat dacht je van Synnovis?

telenut @HakanX • 21 juni 2024 20:20

dan krijg ik "no results"... Of ik heb niet goed door hoe je op Telegram moet zoeken...

Unknowntje @telenut • 22 juni 2024 11:31

https://t.me/+OVXlbwml5bE5YWQ0

telenut @Unknowntje • 22 juni 2024 11:37

Thx. Geen interesse in de data, wel in de manier en plaats waar men die data zet. Kan handig zijn voor toekomstige lekken waar data van onze klanten/patiënten/personeel in zit
En iets handiger dan het dark web

FairPCsPlease @HakanX • 22 juni 2024 05:09

Dat is toch de naam van de zorginstelling? De bende heet Qilin.

HakanX @FairPCsPlease • 22 juni 2024 23:45

Klopt, maar het gaat om keywords om iets te vinden.

laurens0619 21 juni 2024 21:08

Ransomware as a service groepen hebbem vaak in de voorwaarden staan dat healthcare zoals zieke huizen niet geencrypt mogen worden om gezondheid patiënten niet in gevaar te brengen.

data extortion mag dan weer wel wat hier dus schijnbaar ook is gebeurd.

Mosterd 22 juni 2024 00:35

Ik zie de laatste tijd zoveel cybersecurity incidenten in Europa dat ik twijfel of firma’s hier wel investeren in degelijke software, degelijke programmeurs en cybersecurity oplossingen. Ik krijg achteraf - nadat informatie over de uitvoering van dit soort hacks naar buiten wordt gebracht en de bedrijfsvoering - nog te vaak de smaak “pay peanuts get monkeys”.

Nu hoeft dat niet altijd zo te zijn, dat snap ik, maar in vergelijking met de V.S. (en ook Canada voor de wijsneuzen die mij op het sociale systeem van de VS willen wijzen als tegenargument) worden developers in Europa toch flink wat stukken minder betaald.

Yzord 21 juni 2024 17:27

Hoezo lekt? Beetje vreemde titel. Ze lekken niks, ze publiceerden het gewoon.

Peter-RX10 22 juni 2024 00:12

Taalkundig gezien een vreemde kop: Ransomwarebende lekt 380GB aan patiëntendata van Engelse zorgorganisatie
Een ransomwarebende lekt niet, die publiceert heel bewust gestolen gegevens. Die gegevens kon ze stelen dankzij lekke ICT bij een Engelse zorgorganisatie, mar dat is iets anders...

Cheefgreenleaf 23 juni 2024 07:04

Vaak lukt het niet, lege handen, maakt dat je in een dergelijke situatie dan geen terrorist? Stukken makkelijker te veroordelen, en de baas te overtuigen meer manschappen in te zetten.

Op dit item kan niet meer gereageerd worden.

Ransomwarebende lekt 380GB aan patiëntendata van Engelse zorgorganisatie

Lees meer

Reacties (49)

Sorteer op:

Weergave: