Ataques de ransomware na área de saúde

Diante de ataques de ransomware de grande importância contra instituições de saúde, veja como proteger sua empresa.

Um ciberataque a uma clínica ou hospital é literalmente uma questão de vida ou morte. Em 2020, os sistemas de saúde em todo o mundo já estavam rachando sob a pressão da pandemia do COVID-19, e as ações dos cibercriminosos apenas aumentaram a carga. Uma das ameaças mais significativas do ano passado para instituições médicas veio de ataques de ransomware – aqueles em que os cibercriminosos criptografam dados ou extorquem a gerência com ameaças de publicar dados roubados.

As consequências de tais ataques são múltiplas. Além da interrupção óbvia e perigosa dos serviços médicos, as empresas de saúde podem enfrentar repercussões de longo prazo, que vão desde multas regulatórias até reclamações de pacientes cujos dados pessoais foram violados.

Incidentes de ransomware maior impacto

Um dos casos mais comentados do ano passado, e um sinal da extensão do problema, foi o ataque do ransomware Ryuk aos Serviços Universais de Saúde (UHS, sigla em inglês) em setembro passado. O grupo opera 400 instalações médicas nos Estados Unidos, Reino Unido e outros países. Felizmente, nem todos os hospitais e clínicas sofreram, mas o ataque atingiu as instalações do UHS em vários estados dos EUA. O incidente ocorreu no início de uma manhã de domingo: os computadores da empresa não inicializaram e alguns funcionários receberam um pedido de resgate. A rede telefônica também foi afetada. O departamento de TI teve que pedir aos funcionários que trabalhassem à moda antiga, ou seja, sem TI. Naturalmente, isso causou grande interferência no fluxo normal da clínica, afetando o atendimento ao paciente, os testes de laboratório e muito mais. Algumas instalações tiveram que encaminhar pacientes para outros hospitais.

Em sua declaração oficial, o UHS disse que não havia “nenhuma evidência de acesso não autorizado, cópia ou uso indevido de dados de qualquer paciente ou funcionário”. Em março deste ano, a empresa divulgou um relatório afirmando que o ataque causou danos no valor de U$ 67 milhões, incluindo custos de recuperação de dados, perda de receita devido ao tempo de inatividade, redução do fluxo de pacientes e muito mais.

Enquanto isso, um incidente na Ascend Clinical, especializada em serviços de teste para doenças renais, levou a uma violação de dados que afetou mais de 77 mil pacientes. A causa da infecção é conhecida: um funcionário clicou em um link em um e-mail de phishing. Tendo penetrado no sistema, os invasores puseram as mãos, entre outras coisas, nos dados pessoais dos pacientes – nomes, datas de nascimento e números de segurança social.

Um ataque à Magellan Health em abril de 2020 comprometeu os dados pessoais de funcionários e pacientes (365 mil vítimas, de acordo com relatos da mídia). Os cibercriminosos conseguiram, por meio da engenharia social, se passar por um cliente, obter acesso à rede interna, usar malware para interceptar credenciais de login e, finalmente, criptografar dados no servidor.

De modo geral, ao atacar instalações de saúde, os cibercriminosos preferem criptografar e roubar dados de servidores em vez de estações de trabalho. A mesma coisa aconteceu com os servidores do Florida Orthopaedic Institute, quando invasores criptografaram os dados (anteriormente roubados) de 640 mil pacientes. Isso resultou em uma ação coletiva bastante desagradável.

O texto acima é apenas uma amostra dos incidentes de grande impacto das notícias do ano passado. Na verdade, tínhamos dezenas de outros para escolher.

Como as instituições de saúde podem se proteger

O malware pode penetrar em um sistema de várias maneiras: por meio de anexos de e-mail, links de phishing, sites infectados e muito mais. Os invasores podem roubar credenciais de acesso remoto, persuadi-los por meio de engenharia social ou simplesmente usar força bruta. O velho ditado médico de que é melhor prevenir do que remediar, aplica-se igualmente à cibersegurança, e não menos importante, à proteção contra ransomware. Aqui estão nossas dicas de cuidados preventivos para todas as ciberameaças:

Proteja todos os dispositivos — e não apenas computadores. Smartphones, tablets, terminais, quiosques de informações, equipamentos médicos e absolutamente tudo o mais com acesso à rede corporativa e à Internet da empresa;

● Mantenha os dispositivos atualizados. Mais uma vez, não se trata apenas de computadores. A ciberproteção para, digamos, um tomógrafo pode não ser a primeira preocupação na hora de escolher o aparelho neste segmento. No entanto, eles são essencialmente um computador com um sistema operacional que pode ter vulnerabilidades. Idealmente, a segurança deve desempenhar um papel importante na escolha do equipamento – pelo menos, antes de comprar, faça com que o fornecedor confirme se ele lança atualizações para seu software;

● Instale soluções de segurança para proteger contas de e-mail. Proteger as comunicações eletrônicas é vital; organizações médicas recebem muitos e-mails, incluindo spam, que pode conter não apenas lixo inofensivo, mas também anexos perigosos;

● Treine todos os funcionários – isso significa administradores e médicos e qualquer pessoa que toque em tecnologia – nos conceitos básicos de conscientização sobre cibersegurança. Cada vez mais partes do atendimento médico estão se tornando eletrônicas, desde a digitalização de registros médicos a consultas por vídeo online. A conscientização sobre a cibersegurança deve ser tão rotineira quanto o uso da máscara durante a cirurgia.

● Muitos ataques de ransomware atuais são realizados no que chamamos de forma “manual”. Em outras palavras, os cibercriminosos por trás dos ataques de ransomware modernos tendem a não disparar malwares dispersos, mas sim buscar maneiras de infectar computadores e servidores de vítimas específicas, muitas vezes usando a arte da engenharia social. Às vezes, depois de se infiltrar em uma rede, eles estudam longamente a infraestrutura em busca dos dados mais valiosos. Para detectar tais ataques, para os quais a proteção do endpoint pode não ser suficiente, recomendamos contratar um serviço de resposta de detecção gerenciada para monitorar sua infraestrutura remotamente.

[KESB Ransomware banner]

Dicas