インタビューロンドンの病院で医療危機を引き起こしたランサムウェア集団は、完全に意図的だったサイバー攻撃について後悔はしていないと、 The Registerのインタビューで語った。
キリン社によると、病理学サービス企業シンラボとロンドンの2つのNHSトラストの合弁企業であるシノビスが標的にされたのは偶然ではないという。もし攻撃が成功した場合、英国の首都で医療危機が発生することを認識していたかとの質問に対し、キリン社の広報担当者は「はい、認識していました。それが私たちの狙いでした」と答えた。
ランサムウェア攻撃でロンドンの病院が重体
詳細なコンテキスト
彼らはさらに、サイバー攻撃は政治的な動機に基づいていると主張した。「我々の攻撃はすべて偶発的なものではない。我々は、特定の国の政治エリートと直接的または間接的に関係のある経営陣を持つ企業のみを選んでいる。これらの国の政治家は約束を守らず、多くのことを約束するが、その約束を急いで果たそうとはしない」
彼らは、特定の国や出来事の名前を挙げることなく、なんとなく支離滅裂な英語で、政治家が自国の頭上に「平和な空」を保ちながら、他国から「高品質の」医薬品を差し控えているとほのめかした。
専門家らはまた、この犯罪組織の標的は理想主義的というよりはむしろ日和見主義的であることから、政治的な説明にも疑問を呈している。
例えば、SOCRadarは先週、Qilinが医療・教育分野をターゲットにしていることで知られているが、それは政治的な理由ではなく、稼働時間への依存度と保有データの機密性のためだと報じた。
サーチライト・サイバーの上級脅威情報アナリスト、ルイーズ・フェレット氏は、この攻撃の思想に疑問を呈し、事件をめぐるメディアの注目度を考えれば捏造された可能性があると示唆した。
「Qilinは金銭目的の脅威アクターとみなされているため、政治的な標的を狙うのは彼らの通常の手口とは一致しません」と彼女は述べた。「今回のケースでは、金銭的利益と政治的主張の証明を組み合わせようとした可能性があります。」
しかし、これは意図的な標的攻撃ではなく、病院への影響で攻撃が大きなニュースになったため、Qilin社は自社の評判を高め、高潔なハクティビストの役割を演じるための機会を得たという可能性もある。
攻撃は故意に行われたにもかかわらず、キリン氏は、その結果苦しんでいるロンドンの人々に同情しているとやや間接的に述べた。
「この状況の人質となったロンドンやその他の英国都市の一般住民に心から同情します」と広報担当者はレジスター紙に語った。「しかし、私たちは決して自分の行動を後悔することはありません。なぜなら、これは闘いだからです。」
「誰も怪我をしていないことを願うとともに、一般の人々にこの状況を引き起こした本当の問題について考えてもらいたい。」
しかし、もちろん、ロンドンでは今、人々が苦しんでいます。NHS(国民保健サービス)の6月14日の最新情報によると、すでに1,500件以上の手術や予約がキャンセルされており、その数字は間違いなく日々増加しています。
ロンドンの高齢者の間では、重要な処置がキャンセルされ、すぐに再調整しないと容態が末期になってしまうという話がすでに出ている。
5000万ドルの身代金
ランサムウェア集団が実行する攻撃をめぐる主な疑問は、データを公開しないことと引き換えに彼らが要求する金額である。
キリン氏は、身代金要求額は5000万ドルに設定されていたが、シンノビス側があまりにも長く引き延ばしたため、最終的にギャング側が「すべての会話を止め、連絡を絶った」と語った。
「当社には正しい判断を下すのに十分な時間があった」と広報担当者は語った。
犯人らの主張について問われたシンノビス社は、詳細についてコメントすることを拒否し、「調査は継続中」とだけ述べた。
Synnovisは、権限のない第三者が最近のサイバー攻撃の責任を主張しているという報告を認識しています。当社は、第三者の主張の妥当性、および影響を受ける可能性のあるデータの性質と範囲の評価を含め、このインシデントに関する調査を継続しています。
情報コミッショナー事務局(ICO)を含む関係当局に通報済みであり、NCSCおよび調査に協力している第三者専門家と引き続き連携しています。新たな情報が判明次第、ICOの要件に従って報告し、必要に応じて影響を受ける個人またはパートナーへの通知を優先します。
Qilin社は、1テラバイト以上のデータを盗んだという主張を考慮すると、5000万ドルは「適正な価格」だと考えていると述べた。同社によると、盗んだデータはすべて「数日中」に流出する予定だという。
Qilin氏へのインタビューが行われて以来、Synnovisはギャング団のリークブログに登場し、同社の全データが本日6月20日に漏洩されるだろうと述べている。
ゼロデイクレーム
Qilin が Synnovis のシステムに最初の足場を築いた経緯について尋ねられたが、Qilin は詳細をあまり明かさなかった。
「この質問には、特に無料ではお答えできません。」
ランサムウェア集団は、自分たちが犯罪者であることを認めるのではなく、善意から専門的なサービスを提供する侵入テストの専門家として自らを売り込むことがよくあります。
これは回答がない理由を説明するかもしれないし、あるいは単にその技術を明かすことで将来のサイバー攻撃を阻止できるかもしれないという事実を説明するかもしれない。
しかし、Qilin はゼロデイ脆弱性を利用したと主張したものの、どの製品でその脆弱性が発見されたのか、またどのようにしてその脆弱性を入手したのかについては明らかにしなかった。
我々は再度、Synnovis社と英国のNCSCにこの件について問い合わせたが、どちらもこの件について肯定も否定もしなかった。
しかしフェレット氏は、Qilin が独自のゼロデイ脆弱性を悪用する高度なランサムウェア集団である可能性は十分にあると述べた。
「ランサムウェアの運営者がゼロデイ脆弱性を悪用し、特に大規模で実績のある組織を標的に侵入する事例をこれまでにも確認しています」と彼女は述べた。「Qilinもその特徴に当てはまるため、彼らの主張を疑う理由は特にありません。」
「ハッキングフォーラムでこのグループが経験豊富な『ペンテスター』を募集しているのを確認したので、グループ内の誰かかその関係者が、この攻撃を可能にしたゼロデイ脆弱性を特定した可能性がある。」
- フロンティア・コミュニケーションズ:4月のシステム攻撃で75万人分のデータが盗まれる
- 街頭新聞がQilinランサムウェア集団を大々的に取り上げているようだ
- サイバー探偵が最大のランサムウェア集団に潜入する方法を明かす
- ウクライナ警察、ロックビットの要人コンティと思われるキエフのプログラマーを逮捕
しかし、サイバー犯罪者は主張を誇張することで知られており、過去にはあらゆる脆弱性を悪用したものをいわゆるゼロデイ攻撃と称してきたことにも留意すべきです。したがって、犯罪者の発言に関しては、Qilinの発言は鵜呑みにしないことをお勧めします。
侵入の詳細についてと同様、キリン氏は組織自体、特にその構成や所在地について尋ねられた際にも、同様に恥ずかしそうにこう述べた。「我々には何百人もの仲間がいますが、誰についても具体的なことは何も言えません。これは我々のセキュリティに関わる問題です。」
中国の神話上の生き物にちなんで名付けられたにもかかわらず、麒麟はロシアを拠点とする組織であると広く信じられています。ロシアで過去に行われた他の組織とほぼ同様の活動を展開しており、ロシアの同盟国の組織ではなく、西側諸国の組織を標的としているようです。同盟国であれば、クレムリンでの保護を維持できるはずです。®
