NHS供应商完成18个月勒索软件攻击调查

Synnovis最终完成了对2024年勒索软件攻击的调查，该攻击曾导致伦敦各地的病理服务陷入瘫痪。这家NHS供应商结束了为期18个月的努力，称这是其面临过的最复杂的数据重建工作之一。

这次由Qilin勒索软件团伙声称负责的攻击，在2024年6月病理服务提供商的系统瘫痪后，导致数千次预约和手术被取消。Synnovis现已确认其取证审查已完成，但该公司仍未说明受影响人数。

根据Recorded Future的数据，安全公司CaseMatrix此前估计，超过90万名NHS患者的数据被泄露，尽管Synnovis既未证实也未质疑这一数字。

值得注意的是，2025年6月，国王学院医院NHS信托基金确认，Synnovis供应商漏洞造成的混乱导致一名患者死亡——这一发现标志着勒索软件事件与死亡相关的罕见案例之一。

在本周发布的一份声明中，Synnovis表示调查"耗时一年多才完成，因为受损数据是非结构化、不完整和碎片化的，而且通常很难理解。“声明补充说，专业事件响应团队不得不使用"高度专业化的平台和定制流程"来处理太字节级的混乱信息，并确定哪些医疗保健提供者的患者受到影响。

Synnovis首席执行官Mark Dollar表示：“经过一年多的艰苦调查，才破译并拼凑出这次砸抢式网络攻击中被盗的数据。我亲眼目睹了应对从我们系统中抓取数据的随机性和碎片化性质所面临挑战的规模——即使对顶尖网络专家来说也是如此。”

Synnovis表示，将在11月21日前完成通知所有依赖其病理服务的NHS组织，告知他们委托给该公司的患者数据是否卷入此次泄露。根据英国数据保护法，随后将由这些医院、全科医生诊所和诊所来通知个别患者。

该公司警告说，患者可能还需要等待一段时间。“医疗保健提供者通知受影响患者可能需要一些时间，“它说。“我们建议查看您的医疗保健提供者的网站以获取任何相关更新。”

虽然Qilin团伙去年夏天在网上倾倒了被盗文件，但Synnovis强调，这些数据是"匆忙从工作驱动器中以随机和非针对性的方式获取的。“它表示攻击者并未访问其主要实验室数据库，而是在入侵期间拿走了他们能抓取的任何文件。

根据Synnovis专门的网络攻击网站，一些文件包含个人数据片段，如NHS号码、姓名或出生日期，而"极少量"包括调查人员可以匹配到特定个人的测试结果。“大多数测试结果需要临床知识或进一步丰富才能解释，“Synnovis说，并补充说它们缺乏容易误用的明确阳性/阴性标志。

Synnovis还表示，被盗数据"从未以容易被任何有恶意意图的人使用的形式提供过”，尽管即使部分个人或医疗信息在与来自其他泄露的数据结合时，对欺诈者或外国情报机构也可能有价值。

该公司重申未向Qilin支付赎金，称这一决定是与其服务的NHS信托基金共同做出的。“这一决定……反映了我们对道德原则的承诺，以及拒绝资助威胁关键基础设施、患者隐私和国家安全的未来网络犯罪活动，“Synnovis说，尽管它拒绝透露所要求的赎金金额。

Qilin团伙使用双重勒索策略，瞄准医疗提供者、学校、制造商和地方政府。该组织通常在加密系统前外泄大量数据，然后如果受害者拒绝支付，就威胁发布被盗材料。

据信源自俄罗斯的该组织告诉The Register，其对Synnovis的攻击是故意的，称"我们所有的攻击都不是偶然的”，并且"我们只选择那些管理层直接或间接隶属于特定国家政治精英的公司。”

Synnovis表示其取证调查无法确定攻击者最初是如何获得入口的。所有受影响的基础设施此后已被替换，公司坚称任何受感染系统都不再使用。对初始访问途径缺乏明确性可能会给英格兰NHS带来更多问题，该机构因其嵌入一线护理的供应商的安全性面临日益严格的审查。

然而对患者来说，等待答案的过程仍在继续。随着Synnovis将通知责任转交给其支持的数百个NHS组织，个别披露的时间表现在将因每个提供者处理公司调查结果的速度而异。至少，这结束了最近NHS历史上最长、最具破坏性的事件调查之一——尽管没有解决近百万人的数据如何最终落入犯罪分子手中的问题。