Por que os hospitais são o novo alvo dos hackers

ransomwareOs hospitais se tornaram o novo alvo dos hackers. O grupo de Inteligência de Segurança da Informação da Cisco, Talos identificou uma variante de ransomware – uma espécie de vírus que sequestra dados – especialmente voltado para a área da Saúde. Os hackers fizeram várias vítimas nos EUA no último mês (como o Centro Médico Presbiteriano de Hollywood e o Hospital Metodista de Kentucky) e há indícios de que a ameaça já chegou ao Brasil.

Ao que tudo indica, essa variante (chamada de “Samsam”) se infiltra nos servidores através das redes e criptografa toda a base de dados dos hospitais, incluindo prontuários de pacientes, lista de visitantes, etc. Para descriptografar os dados é preciso uma chave, liberada pelos hackers mediante um pagamento (que gira em torno de milhares de dólares).

Mas por que atacar justamente hospitais?

O ransomware é o modelo mais utilizado pelos criminosos – e com sucesso, já que muitas empresas não têm outra saída a não ser pagar para ter seus dados de volta. Segundo o Relatório Anual de Segurança da Cisco, essa forma de ataque movimenta em média US$ 34 milhões por ano, tornando-a um negócio lucrativo. O que os hackers agora perceberam é que eles podem lucrar ainda mais ao apontar seus “canhões” para o setor da Saúde.

“Os hospitais têm uma base de dados valiosa, com prontuários de pacientes, histórico de doenças e medicamentos, etc. Sem esses dados, eles não podem agendar consultas, realizar procedimentos médicos ou atender urgências”, afirma Fernando Zamai, Engenheiro Consultor de Segurança da Cisco. Ou seja: sem sua base de dados, os hospitais praticamente param. E os hackers perceberam que eles estão mais dispostos a pagar pelo resgate desses dados – e a pagar altos valores.

Além disso, esses ataques afetam as redes dos hospitais, que dependem delas para se comunicar. Os hospitais também guardam informações pessoais de seus clientes e podem ser penalizados por entidades de classe caso os dados vazem. Por fim, o próprio setor da Saúde não costuma investir pesado em Segurança para a infraestrutura (como o setor financeiro, por exemplo), o que o torna um alvo mais atraente para os criminosos.

Como este vírus se infiltra na infraestrutura?

Segundo Fernando Zamai, existem várias formas de executar o ataque incluindo o roubo das credencias administrativas de terceirizados, para daí então se infiltrar nas redes. Além disso, o ambiente hospitalar concentra uma grande movimentação de pessoas facilitando que alguém não autorizado tenha acesso direto a uma porta aberta (um switch ou um roteador desprotegido), conectando um laptop e executando o arquivo contendo o malware”, afirma o especialista.

Essa variante de ransomware não tem um vetor de ataque focado no usuário, como o fishing (e-mail com arquivo suspeito que procura “fisgar” o destinatário). O “Samsam” ao entra na infraestrutura se comunica com a rede de comando e controle do hacker que se escondem na Internet usando técnicas avançadas como a criação dinâmica e aleatória de domínios e também movimentam-se lateralmente pela infraestrutura comprometida buscando outros pontos de infecção. Quando a equipe de TI do hospital percebe, a ameaça já infectou diversas máquinas e criptografou os dados sensíveis.

Qual é o prejuízo para os hospitais?

No caso do Centro Médico Presbiteriano de Hollywood, os diretores preferiram o meio mais rápido de resolver o problema, pagando US$ 17 mil (cerca R$ 68 mil) para reaver os dados. Já o Hospital Metodista de Kentucky se recusou a pagar e usou cópias de backup, demorando cinco dias para voltar a operar (parcialmente). O pagamento é feito em “Bitcoins”, uma moeda digital que torna impossível saber quem são os verdadeiros autores do ataque.

No Brasil, um ataque de ransomware a hospitais poderia ser catastrófico. Segundo outro estudo recente da Cisco, as empresas brasileiras usam menos sistemas de defesa do que empresas de outros países, estando também atrasadas na adoção de políticas padronizadas como a ISSO 27001. O corte geral nos orçamentos de TI dos últimos anos também pode deixar os hospitais ainda mais vulneráveis aos ataques dos hackers.

Qual é vacina para esse ataque?

Fernando Zamai, engenheiro de segurança da Cisco do Brasil, afirma que, como as ameaças hoje são amplas e dinâmicas, a Segurança de TI também deve ser ampla e dinâmica. “A nova variante de ransomware pode entrar por várias brechas e adquirir vários formatos, o que requer sistemas de Segurança em toda a infraestrutura”, explica o especialista. Ou seja: já não basta ter um firewall e um antivírus para proteger as redes – é melhor saber o que passa por elas e monitorar o tráfego de dados.

Uma das soluções é analisar as requisições de resolução de nome (como o OpenDNS), que identifica o ransomware no momento em que ele tenta se comunicar com o servidor de comando e controle do hacker e bloqueia sua atividade. A adoção do serviço é simples e rápida, totalmente na nuvem e existem pacotes de proteção gratuitos. Outra solução é adotar equipamentos capazes de reconhecer automaticamente os usuários e seus dispositivos, permitindo o acesso de acordo com perfis e políticas previamente estabelecidas.

Um item obrigatório aos administradores de TI é a pratica de realizar backup dos dados e de forma frequente. Ter um backup integral e constante do banco de dados pode evitar que os hospitais, que dependem das informações, tenham de pagar o resgate no caso de um ataque de ransomware. Porém, Zamai lembra que isso pode não ser suficiente: “as novas ameaças podem danificar até mesmo cópias guardadas em diversos lugares”.

0Shares
Ainda não há comentários

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.