Mesmo antes do advento do Covid-19, as instituições de saúde sempre foram um dos alvos preferidos dos criminosos cibernéticos, tendo em vista o volume de dados que este setor trata e/ou armazena diariamente. Um recente estudo da Tenable mostrou que, somente entre janeiro e outubro de 2020, o setor de saúde foi, de longe, o mais afetado, com 22 bilhões de dados expostos na internet. Outro estudo importante, desta vez realizado pela IBM, mostra que o custo médio de um vazamento de dados no setor da saúde pode atingir a ordem de US$ 3,86 milhões, em que cada informação de identificação de pessoal (PII) pode chegar a US$ 150 por registro.
E apesar de termos inúmeros casos em que os ataques cibernéticos foram causados por vulnerabilidades conhecidas (principalmente através das CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, dentre outras), aproximadamente, 55% de todos os casos analisados tiveram como causa raiz ataques por Ransomware.
E as consequências de tais ataques são múltiplas, obviamente. Além da interrupção dos serviços médicos, o que pode gerar efeitos cinéticos – quando as ações no domínio cibernético tendem a causar letalidade, as empresas de saúde podem enfrentar repercussões de longo prazo, que vão desde multas regulatórias, como é o caso das multas aplicadas pela LGPD, até reclamações de pacientes cujos dados pessoais foram violados.
O Modus Operandi de um ataque de Ransomware
O NIST, através da IR 8374, define um Ransomware como um tipo de ataque malicioso através de infecções por malware, em que os atacantes criptografam os dados de uma organização e exigem pagamento para restaurar o acesso. Em alguns casos, os atacantes também podem roubar informações de uma organização e exigir pagamento em troca da não divulgação das informações às autoridades, concorrentes ou ao público.
Os métodos usados para obter acesso às informações e sistemas de uma organização são comuns a outros tipos de ataques cibernéticos de forma mais ampla, no entanto um ataque, através de Ransomware, tem como objetivo forçar o pagamento de um resgate.
De acordo com os relatórios citados anteriormente, corroborados pelo advisory liberado pela CISA (que inclusive cataloga todos os IOC’s conhecidos para este tipo de ataque), o ransomware Ryuk, dentre outros citados no referido advisory, tem sido um dos principais vetores contra o setor de saúde. Considerado um “framework de malwares“, que vem sendo vendido, no submundo do cibercrime, como um RaaS (Ransomware as a Service/Ransonware como um serviço), fornecendo métodos automatizados de exploração para uma série de vulnerabilidades, incluindo aquelas associadas ao Microsoft Server Message Block (SMB).
Do ponto de vista da metodologia do ataque, os criminosos geralmente iniciam o ataque através de um e-mail inicial de phishing, links maliciosos e/ou publicidade maliciosa (malvertising) em fóruns e nos sites mais visitados pelos colaboradores da área, onde, logo após a interação da vítima, o malware consegue controlar o domínio do alvo e, usando vulnerabilidades conhecidas, eleva privilégios em até menos de duas horas após o ataque inicial.
O que se sabe sobre os ataques recentes a JBS, Fleury e outros?
Apesar de ainda nenhum grupo criminoso ter reivindicado a autoria dos ataques ao Fleury, tomando como base o mindset do ataque perpetrado contra a JBS e outras empresas, há fortes indícios de que tenha sido um grupo chamado REvil, conhecido também como Sodinokibi. Inclusive alguns meios de comunicação chegaram a veicular informações sobre possíveis fontes que garantem que o ataque ao Fleury tenha sido feito pelo Sodinokibi.
Formado, em sua maioria, por russos e aliados da antiga União Soviética, o Sodinokibi é um dos grupos de cibercriminosos que mais lucra com ataques por Ransomware, tendo sido responsável pelos recentes ataques a JBS, Honeywell, Acer e Braskem. O grupo opera com serviços do tipo RaaS, em que aluga sua plataforma a clientes do mundo inteiro. Seus “afiliados” são organizações que distribuem o malware através de campanhas de phishing a suas vítimas.
Se sua organização utiliza alguma ferramenta de SI é interessante adicionar os IOCs conhecidos para este tipo de ataque nos filtros de bloqueio:
Java Script
MD5 – 3e974b7347d347ae31c1b11c05a667e2
SHA1 – 2cc597d6bffda9ef6b42fed84f7a20f6f52c4756
Jurhrtcbvj.tmp
MD5 – e402d34e8d0f14037769294a15060508
SHA1 – b751d0d722d3c602bcc33be1d62b1ba2b0910e03
Test.dll
MD5 – 8ea320dff9ef835269c0355ca6850b33
SHA1 – f9df190a616653e2e1869d82abd4f212320e9f4b
sodinokibi_loader_1.dll
MD5 – 7d4c2211f3279201599f9138d6b61162
SHA1 – ee410f1d10edc70f8de3b27907fc10fa341f620a
sodinokibi_loader_2.dll
MD5 – 613dc98a6cf34b20528183fbcc78a8ee
SHA1 – 5cd8eadcd70b89f6963cbd852c056195a17d0ce2
sodinokibi_payload.exe
MD5 – b488bdeeaeda94a273e4746db0082841
SHA1 – 5dac89d5ecc2794b3fc084416a78c965c2be0d2a
RANSONWARE – Ransom-Sodinkbi!C2D7EF222337
v1.exe / v2.exe / v2c.exe – nome dos arquivos infectados
1de3 – v2c.exe – Hash do arquivo infectado: e958bdd602beb5d0fe5069237de969c3d30a583a0a9fc481aef580fa38b8ee1d
2de3 – sender.exe – Hash do arquivo infectado: 8cfd554a936bd156c4ea29dfd54640d8f870b1ae7738c95ee258408eef0ab9e6
3de3 – nomedoarquivo.ext – Hash do arquivo infectado: c2d7ef222337ce361e9d00506a7d9707
Como proteger uma instituição de saúde contra este tipo de ataque?
Abaixo elencamos uma série de medidas e boas práticas de segurança cibernética contra possíveis ataques de Ransomware, que seguem as recomendações das principais autoridades em cibersegurança no mundo:
- Mantenha backups atualizados de seus dados. Uma boa prática é criptografá-los e armazená-los offline, além de testá-los regularmente. Um ponto importante sobre manter os backups offline, ou em redes separadas, é que, atualmente, muitas variantes dos Ransomwaresmais utilizados tentam encontrar e excluir quaisquer backups acessíveis;
- Além de imagens do sistema, o código-fonte ou executáveis das aplicações da instituição devem estar disponíveis nos backups;
- Crie, mantenha e execute um plano básico de resposta a incidentes cibernéticos, que inclua procedimentos de resposta e notificação para um incidente de Ransomware;
- Desenvolva um plano de gestão de risco que mapeie os serviços e cuidados de saúde críticos para os sistemas de informação necessários; isso garantirá que o plano de resposta a incidentes contenha os procedimentos de triagem adequados;
- Predefina segmentos de rede, recursos de TI e outras funcionalidades que podem ser, rapidamente, separados da rede principal (ou do ambiente de produção) ou desligados totalmente, sem afetar as operações do restante da infraestrutura de TI;
- Os dispositivos legados (incluindo os dispositivos médicos, tais como aparelhos de suporte à vida) devem ser identificados e inventariados com a mais alta prioridade, além de receber considerações especiais durante um evento de Ransomware;
- Proteja todos os dispositivos – não apenas os computadores. Smartphones, tablets, terminais, quiosques de informações, equipamentos médicos e, absolutamente, tudo com acesso à rede corporativa e à internet da empresa;
- Mantenha todos os dispositivos atualizados (não só computadores). A proteção cibernética para um tomógrafo, por exemplo, pode não vir, imediatamente, à mente, mas também é, essencialmente, um computador com um sistema operacional que pode ter vulnerabilidades. O ideal é que a segurança desempenhe um papel importante na escolha do equipamento – pelo menos, antes de comprar, faça com que o fornecedor confirme se ele lança atualizações para seu software;
- Instale soluções de segurança para proteger contas e serviços de e-mail. Proteger as comunicações eletrônicas é vital; organizações médicas recebem muitos e-mails, incluindo spam, que pode conter não apenas lixo inofensivo, mas também anexos perigosos; e
- Treine todos os funcionários sobre noções básicas de conscientização sobre segurança cibernética; isso significa administradores, médicos e qualquer outra pessoa que toque em tecnologia. De forma constante, mais partes do atendimento médico estão se tornando eletrônicas, desde a digitalização de registros médicos a consultas por vídeo online. A conscientização sobre a segurança cibernética deve ser tão rotineira quanto o uso da máscara durante a cirurgia.
Fui atacado por um Ransomware, o que devo fazer?
O checklist abaixo contém procedimentos simples, porém extremamente úteis e factíveis em casos em que se identificou um ataque por Ransomware (ou mesmo uma suspeita):
- Isole o computador infectado imediatamente. Os sistemas infectados devem ser removidos da rede o mais rápido possível para evitar que o Ransomwareataque os demais dispositivos da rede;
- Isole ou desligue os dispositivos afetados que ainda não foram completamente corrompidos. Isso pode garantir mais tempo para limpar e recuperar dados, conter danos e evitar o agravamento das condições;
- Proteja imediatamente os dados ou sistemas de backup colocando-os offline. Certifique-se de que os backups estejam livres de malware antes de usá-los para restaurar dados inacessíveis;
- Se disponível, colete e proteja partes parciais dos dados resgatados que possam existir; e
- Se possível, altere todas as senhas de contas online e senhas de rede após remover um sistema da rede; além disso, altere todas as senhas do sistema assim que o malware for removido do sistema.
Conclusão
O principal vetor de entrada de um Ransomware é a exploração de falhas humanas, em que os investimentos em conscientização e capacitação dos colaboradores em segurança cibernética são inversamente proporcionais aos investimentos em soluções de segurança.
Além de conscientizar também é preciso considerar os riscos internos, como falta de normas de privacidade, de sistemas de proteção de dados, de controle de acessos e, um dos mais graves, a falta de orientação às pessoas da organização. Todas essas questões são fatores que levam as empresas a apostarem no controle eficiente, fornecido por um projeto completo de segurança da informação.
As ameaças externas aumentam de forma acelerada. As técnicas utilizadas pelos cibercriminosos estão, a cada dia, mais modernas e eficientes, tornando antivírus e outras soluções de segurança insuficientes para realizar a proteção total da rede corporativa, principalmente, para controlar todos os endpoints ligados à rede.
Segurança da Informação precisa ser uma responsabilidade compartilhada dentro de qualquer empresa, mas, para que isso seja uma realidade, é preciso comunicar, conscientizar e ensinar todos os envolvidos.