Parece que os agressores estão se concentrando em instituições médicas – apostando na natureza crítica de dados que podem deixar as instalações impotentes quando não podem acessá-los. Relatórios recentes mostram que uma rede de saúde depois da outra saindo do ar devido a ataques de ransomware.
Na segunda-feira, os dez hospitais e mais de 250 centros ambulatoriais administrados pelo gigante da assistência médica de Maryland, MedStar Health desligaram seus computadores e servidores de email depois que um malware paralisou seus sistemas online. Em uma declaração, o porta-voz da MedStar divulgou no Facebook, ” o sistema de TI da MedStar Health foi afetado por um vírus que impede que certos usuários acessem nosso sistema. A MedStar agiu rapidamente, tomando a decisão de desligar todas as interfaces do sistema para impedir que o vírus se propagasse por toda a organização. Estamos trabalhando com nossos parceiros de TI e de segurança cibernética para avaliar e resolver toda a situação.“
Inicialmente, as autoridades do provedor de saúde de $5 bilhões não se referiram ao incidente como uma infecção de ransomware, mas um funcionário do MedStarSouthern Maryland Hospital Center divulgou a imagem de uma nota de resgate exigindo 45 bitcoins (cerca de $19.000 dólares) por uma chave de decodificação para os arquivos criptografados. Além disso, a nota avisava,”Vocês só têm 10 dias para nos enviar os bitcoins. Depois de 10 dias, removeremos sua chave privada e será impossível recuperar seus arquivos“.
Na tarde de terça-feira, foi relatado que os registros encontrados na base de dados da MedStar já podiam ser acessados e lidos, mas não podiam ser atualizados ou modificados. Uma recente atualização sobre a intrusão cibernética confirmou agora que o ataque envolve o SAMSAM – uma família de ransomware que ataca o servidor da web e não depende de malvertising ou de engenharia social para chegar ao sistema do alvo.
Os funcionários enfatizaram que devido a atrasos e outros desafios operacionais causados pelo ataque, eles “agiram rápido” para resolver a situação e não foram encontradas evidências de informações roubadas do comprometimento. O diretor médico da MedStar, Stephen R.T. Evans apoia isso, dizendo, “A qualidade e segurança de nossos pacientes permanecem sendo nossa maior prioridade e não diminuiu durante essa experiência.”
Na Califórnia, as operações de dois hospitais dirigidos pela Prime Healthcare Inc. foram interrompidas por um ataque de ransomware semelhante, causando o desligamento de sistemas compartilhados. A Prime Healthcare opera 42 centros de cuidados intensivos, espalhados em 14 estados e em meados de março, o hospital comunitário de 126 leitos Chino Valley Medical Center, em Chino e o Desert Valley Hospital de 148 leitos foram vítimas de um ataque que agora está sendo investigado pelo FBI.
A infecção foi descoberta em 18 de março envolvendo um malware pertencente a série de crypto-ransomware Locky. Acredita-se que o ransomware foi enviado através de um email malicioso. Isso foi similar à família de ransomware que controlou a rede do Hospital Metodista, em Kentucky, fazendo o hospital operar em uma “situação de emergência interna“. No final de fevereiro, descobriu-se que o Locky estava baixando macros maliciosas em um documento Word enviado por email.
Fred Ortega, porta-voz da Prime Healthcare, confirmou esse ataque, mas garantiu que nenhum resgate foi pago e que nenhuma informação de funcionários ou pacientes foi roubada ou comprometida. Em outra declaração, ele disse, “Nosso especialista, da equipe de TI interna, conseguiu imediatamente implementar protocolos e procedimentos para conter e reduzir as interrupções. Os hospitais continuaram operacionais sem impacto na segurança dos pacientes e, em nenhum momento, os dados de funcionários e pacientes foram comprometidos. A partir de hoje (24 de março de 2016) a maioria dos sistemas já está online.”
Métodos diferentes, impacto similar
O aumento de incidentes de malware visando dados médicos tem preocupado as autoridades, dado o tipo de informações valiosas armazenadas pelos hospitais e provedores de assistência médica. Violações de dados e ataques de phishing apareceram nos últimos anos como táticas comuns usadas para roubar dados valiosos de registros médicos. Depois de roubados, são o tipo de dados que não podem ser facilmente (ou de modo algum) substituídos, diferentemente de credenciais bancárias e de cartão de crédito – tornando essas bases de dados uma mina de ouro para os cibercriminosos.
No relatório de segurança de 2015 da Trend Micro, foi descoberto que a assistência médica foi o setor mais afetado com base nos incidentes de violações de dados relatados. No começo de 2016, o centro de tratamento de câncer 21st Century Oncology Holdings foi vítima de uma violação que expôs mais de 2 milhões de registros de pacientes. A instalação de pesquisa e tratamento City of Hope também foi alvo de um ataque de phishing que conseguiu divulgar informações de saúde protegidas para pessoas não autorizadas. Além disso, o número de incidentes envolvendo o roubo de dados médicos mostra que esses dados não são tão seguros, tornando-os um alvo ainda mais ideal.
Apesar do ransomware não ter sido projetado para roubar dados, os agressores podem ter considerado as instalações médicas como alvos fáceis e lucrativos. As redes de edifícios médicos podem não ser bem-defendidas, os funcionários podem não conhecer as táticas de engenharia social populares e os dados e sistemas são tão críticos para as operações que bloqueá-los com ransomware resulta em vítimas mais propensas a pagar o resgate.
