Ataques cibernéticos afetando instalações de saúde continuam crescendo, com outro hospital, o Kansas Heart Hospital em Wichita, Kansas foi a mais recente vítima de um ataque de ransomware.
O presidente do hospital, Dr. Greg Duick, disse a estação de notícias local KWCH12 que o ataque ocorreu na noite de 18 de maio quando um de seus funcionários relatou ter perdido o acesso aos arquivos do hospital, que foram bloqueados até que um resgate fosse pago.
Duick disse que foi paga “uma pequena quantia”, mas que os hackers não retornaram o “acesso total” aos arquivos e, ao invés disso, exigiram um segundo resgate, que o hospital não pagou. “As políticas do Kansas Heart Hospital, juntamente com nossos consultores, sentiram que essa não era mais uma manobra ou estratégia inteligente“, acrescentou Duick.
Foi observado que ataques de ransomware estão se tornando tão frequentes que muitos fornecedores de serviço de saúde, inclusive o Kansas Heart Hospital, adotaram políticas de seguro para cobrir os custos das extorsões cibernéticas. Duick também citou que mais de 45% dos hospitais foram atingidos por algum tipo de ataque cibernético.
O ransomware funciona travando os sistemas infectados ou os arquivos armazenados neles, impedindo o acesso até que um resgate seja pago. Normalmente, as vítimas são infectadas por meio de ataques de phishing de engenharia social, com anexos maliciosos ou conteúdo em email instruindo os destinatários a clicarem em URLs que baixam o malware no computador. Locky, a variante de ransomware que levou o Methodist Hospital no Kentucky a operar em “estado de emergência interna”, usou um documento Microsoft Office enviado como um anexo em um email. Ele também levou o Hollywood Presbyterian Medical Center na Califórnia a pagar 40 bitcoins (cerca de 17.000 dólares) para decodificar os computadores infectados em toda a sua rede.
Os usuários também podem ter suas máquinas infectadas por meio de malvertising se acessarem um site comprometido que veicula anúncios com malware. O PerezHilton.com, o portal de notícias de uma celebridade com mais de 500.000 visitantes diários, foi afetado por uma campanha de malvertising que injetou anúncios infectados hospedando o ransomware CryptXXX. A CBS também expôs seus visitantes ao mesmo malware quando identificaram que os sites de duas de suas estações afiliadas estavam veiculando anúncios maliciosos contendo um exploit kit Angler que baixava o ransomware.
O ransomware também pode infectar sistemas explorando vulnerabilidades nas aplicações e obtendo acesso remoto shell ao servidor: Os sistemas do MedStar Health de Maryland foi infectado desse modo, levando o hospital a recusar pacientes e a desligar seus computadores e servidores de email depois de ter sido atingido pelo ransomware SAMSAM.
Instalações de assistência médica têm sido o alvo ideal desse tipo de esquema de extorsão porque dependem de informações atualizadas para fornecer cuidados intensivos. Supõem-se que os hospitais prefiram pagar o resgate do que arriscar uma interrupção de serviços e operações. No caso do hospital de Kentucky, ele teve que retornar seus computadores online um por um e temporariamente processar tudo em papel. O departamento de medicina de emergência do Hollywood Presbyterian foi paralisado ao ponto de ser obrigado a transferir pacientes para outros hospitais.
Esse incidente mais recente, porém, ilustra perfeitamente o risco e prejuízo causado quando se decide pagar o resgate. O FBI, vendo o alarmante aumento de casos envolvendo ransomware, aconselhou usuários e empresas a não pagarem o resgate. O Diretor Assistente da Divisão Cibernética do FBI, James Trainor, advertiu, “Pagar um resgate não garante que uma empresa terá seus dados de volta – já vimos casos onde as organizações nunca conseguiram uma chave de decodificação após ter pago o resgate. Pagar o resgate não apenas encoraja os atuais cibercriminosos a visar mais organizações, também é um incentivo para outros criminosos entrarem nesse tipo de atividade ilegal. Finalmente, ao pagar um resgate uma empresa pode, sem querer, fornecer fundos para outras atividades ilegais associadas aos cibercriminosos“.
Duick não divulgou a quantia de resgate paga e a variante de ransomware envolvida devido à investigação em curso, acrescentando que a equipe de especialistas em segurança da TI do hospital está trabalhando para restaurar o restante dos sistemas. Duick também garantiu que o ataque não comprometeu a assistência ao paciente, dizendo, “as informações do paciente nunca estiveram em risco e tomamos medidas para garantir que não estarão“.