Synnovis勒索攻击波及范围持续扩大，更多NHS信托机构相继披露

中南埃塞克斯NHS基金会信托机构（MSE）负责切姆斯福德、巴西尔登和绍森德三地的医疗服务，近日宣布将联系一批患者，告知其个人数据在2024年Qilin勒索软件攻击事件中遭到窃取。此次攻击的目标是NHS实验室服务合作伙伴Synnovis。

这起事件在NHS多个部门引发严重混乱，伦敦南部的多家医院受到的冲击尤为突出，导致数千例门诊预约和择期手术被迫取消。Qilin黑客组织随后公布了从Synnovis各NHS服务客户处窃取的逾400GB敏感数据。

尽管事件基本情况很快得以确认，但Synnovis的完整取证调查却耗时将近18个月才告完成，并在此后才开始通知各下游NHS机构其患者数据已遭泄露。MSE是2025年底收到通知的机构之一，此后已自行启动了针对此次数据泄露的内部调查。

MSE副首席执行官Dawn Scawfield表示："受影响的记录涉及接受过多项专科诊断检测的患者。由于部分数据无法直接关联到具体患者，我们目前仍在等待确认最终的受影响人数。一旦确定了相关患者身份，我们将主动联系所有受影响人员。"

截至撰稿时，《Computer Weekly》获悉此次涉及的记录数量约为2380条。尽管受影响检测数据的确切时间范围尚未最终确定，但所有泄露数据均与2024年6月3日前完成的检测相关，即Synnovis遭受攻击的大致时间节点之前。

受波及机构数量或将进一步增加

目前尚不清楚究竟有多少家NHS信托机构受到影响，但业内普遍预计，将有更多机构陆续公开披露相关情况。

上周，贝德福德郡医院NHS基金会信托机构披露，近3万名患者的数据遭到窃取，涉及姓名、出生日期、患者编号及NHS编号、邮政编码和检测结果等信息。此批数据的检测记录源于2020年11月之前，但该信托机构表示，相关记录较为零散、不完整，且分散存储于多个文件中，难以进行准确解读。

威胁情报平台Binalyze首席调查员Lee Sult指出，Synnovis事件中最令人忧虑的问题，在于厘清被盗数据真实性质与规模所花费的漫长时间。

"如果在两年后我们仍在努力确认实际损失规模，这已不是一次普通的调查，而是一场缓慢蔓延的危机。每过一个月，就意味着NHS编号、姓名、出生日期和检测结果在犯罪分子手中多停留一个月，而没有人知道这些数据正在被如何利用。"他说。

"这类事件中，最危险的或许是其所传递的信号。迟缓的检测能力、分散化的调查机制、滞后的信息披露，都在向外界暴露系统的脆弱性。国家背景的威胁行为者和有组织的网络犯罪团伙，向来基于机会进行决策。在数据资源丰富的行业中，响应迟缓本身就是一个明确的信号——意味着攻击行动可以在数年内不受任何实质性追究地持续进行。"

Q&A

Q1：Synnovis遭受的勒索攻击具体造成了哪些影响？

A：2024年，Qilin勒索软件组织攻击了NHS实验室服务合作伙伴Synnovis，导致NHS多个部门陷入混乱，伦敦南部医院受创最重，数千例门诊预约和择期手术被迫取消。攻击者随后公布了逾400GB的敏感数据，涉及多家NHS机构的患者信息。由于取证调查耗时近18个月，受波及机构直至2025年底才陆续收到通知，目前仍有更多NHS信托机构预计将相继披露受影响情况。

Q2：此次数据泄露事件中，患者的哪些信息遭到了窃取？

A：根据已披露的信息，被盗数据涵盖患者姓名、出生日期、患者编号及NHS编号、邮政编码和检测结果等内容。MSE信托机构涉及约2380条记录，相关数据均为2024年6月3日前的检测记录；贝德福德郡医院信托机构则涉及近3万名患者，其检测记录主要来自2020年11月之前。

Q3：调查进展迟缓会带来哪些安全风险？

A：安全专家指出，调查周期过长意味着患者的敏感数据在犯罪分子手中持续滞留，却无人知晓这些数据被如何利用。更深远的危害在于，迟缓的检测能力、分散的调查机制和滞后的信息披露，向有组织的网络犯罪团伙和国家背景攻击者传递出明显的脆弱性信号，可能进一步诱发针对数据密集型行业的攻击行为。