Os hospitais se tornaram o novo alvo dos hackers. O grupo de Inteligência de Segurança da Informação da Cisco, o Talos, identificou uma variante de ransomware - uma espécie de vírus que sequestra dados - especialmente voltado para a área da Saúde. Os hackers fizeram várias vítimas nos EUA no último mês (como o Centro Médico Presbiteriano de Hollywood e o Hospital Metodista de Kentucky) e há indícios de que a ameaça já chegou ao Brasil.
Ao que tudo indica, essa variante (chamada de “Samsam”) se infiltra nos servidores através das redes e criptografa toda a base de dados dos hospitais, incluindo prontuários de pacientes, lista de visitantes, etc. Para descriptografar os dados é preciso uma chave, liberada pelos hackers mediante um pagamento (que gira em torno de milhares de dólares).
Mas por que atacar justamente hospitais?
O ransomware é o modelo mais utilizado pelos criminosos - e com sucesso, já que muitas empresas não têm outra saída a não ser pagar para ter seus dados de volta. Segundo o Relatório Anual de Segurança da Cisco de 2016, essa forma de ataque movimenta em média US$ 34 milhões por ano, tornando-a um negócio lucrativo. O que os hackers agora perceberam é que eles podem lucrar ainda mais ao apontar seus “canhões” para o setor da Saúde.
“Os hospitais têm uma base de dados valiosa, com prontuários de pacientes, histórico de doenças e medicamentos, etc. Sem esses dados, eles não podem agendar consultas, realizar procedimentos médicos ou atender urgências”, afirma Fernando Zamai, Engenheiro Consultor de Segurança da Cisco. Ou seja: sem sua base de dados, os hospitais praticamente param. E os hackers perceberam que eles estão mais dispostos a pagar pelo resgate desses dados – e a pagar altos valores.
Além disso, esses ataques afetam as redes dos hospitais, que dependem delas para se comunicar. Os hospitais também guardam informações pessoais de seus clientes e podem ser penalizados por entidades de classe caso os dados vazem. Por fim, o próprio setor da Saúde não costuma investir pesado em Segurança para a infraestrutura (como o setor financeiro, por exemplo), o que o torna um alvo mais atraente para os criminosos.
Como este vírus se infiltra na infraestrutura?
Segundo Fernando Zamai, existem várias formas de executar o ataque incluindo o roubo das credencias administrativas de terceirizados, para daí então se infiltrar nas redes. Além disso, o ambiente hospitalar concentra uma grande movimentação de pessoas facilitando que alguém não autorizado tenha acesso direto a uma porta aberta (um switch ou um roteador desprotegido), conectando um laptop e executando o arquivo contendo o malware, afirma o especialista.
Essa variante de ransomware não tem um vetor de ataque focado no usuário, como o fishing (e-mail com arquivo suspeito que procura “fisgar” o destinatário). O “Samsam” ao entrar na infraestrutura se comunica com a rede de comando e controle do hacker (que se esconde na Internet usando técnicas avançadas como a criação dinâmica e aleatória de domínios), e movimenta-se lateralmente pela infraestrutura comprometida, buscando outros pontos de infecção. Quando a equipe de TI do hospital percebe, a ameaça já infectou diversas máquinas e criptografou os dados sensíveis.