Cibercrime na Saúde: documentos hospitalares são vendidos por até US$ 60

Os dados hospitalares nunca valeram tanto. Eles passaram de identificadores de pacientes e suas mazelas, e, claro, de base de informações para os médicos, a “ativos” cobiçados por gigantes da tecnologia — afinal, dispositivos com foco em saúde, como o Apple Watch, precisam de muitos insumos para aprimorar detecções e funcionalidades. E tudo o que ganha ainda mais valor entra na mira de criminosos.

• Hospital no litoral de Santa Catarina sofre ataque de sequestro digital
• FBI emite novo alerta sobre risco de ciberataques contra hospitais

De acordo com dados da Check Point Research, os ataques cibernéticos a instituições de saúde estão em alta em todo o mundo. No início de agosto, um grupo de saúde chegou a enfrentar uma média de 1.170 ataques por semana, enquanto em setembro, o recorde foi de 1.848 ofensivas em sete dias. No mês passado, enquanto uma em cada 71 organizações em geral foi atingida por ransomware, uma em cada 41 do setor de saúde foi alvo.

Vale destacar que a superfície de ataque aumentou. Hospitais e instituições de saúde armazenam grandes quantidades de dados confidenciais de pacientes, que, com o avanço da tecnologia, foram digitalizados e estão em mais bancos de dados conectados, inclusive em nuvem.

Quais as razões de os cibercriminosos estarem mirando o setor de saúde?

O valor dos “ativos” destacado no começo do texto é apenas um dos fatores que servem de chamariz para os cibercriminosos. Durante a pandemia, os bandidos perceberam a importância das instituições de saúde, e passaram a colocá-las como alvos de ataques de extorsão e ransomware — grupos de necessidades essenciais podem se sentir mais pressionados a pagarem resgate.

Segundo a Check Point Research, informações pessoais, registros médicos, resultados de exames e outros dados hospitalares tiveram “alta de preços” no mercado paralelo dos cibercriminoso, na Darknet. Um único documento pode valer de US$ 5 (R$ 26 na cotação atual) a US$ 60 (cerca de R$ 313). Imagine o montante movimentado com vazamentos de milhões de perfis diferentes.

E há outra superfície que acende um alerta: os criminosos também estariam mirando dispositivos médicos, como tomografias computadorizadas ou ressonâncias magnéticas, para manipular ou alterar os resultados; e até invasões a aparelhos de ultrassom — embora não haja confirmação de ciberataques dessa natureza até agora.

Como os cibercriminosos atacam o setor de saúde?

Todas as possíveis vulnerabilidades apontadas no próprio cotidiano de um usuário de celular ou computador são portas de entrada para criminosos: senhas fracas, má configuração de defesas, ausência de softwares de proteção, erros humanos, engenharia social, entre outras brechas que se abrem com a falta de cuidados das próprias pessoas. Exemplo disso é um golpe de phishing em que algum funcionário descuidado abre um documento malicioso e cede as credenciais de acesso de um hospital.

Há também as próprias táticas usadas pelos cibercriminosos, que podem se aproveitar de vulnerabilidades em sistemas ou em dispositivos das organizações. Em abordagens mais sofisticadas, eles podem até penetrar em uma rede corporativa por meio de lâmpadas inteligentes.

Como hospitais não podem interromper suas operações, e o expediente pode ser ainda mais movimentado e problemático em finais de semana e feriados, os cibercriminosos se aproveitam ainda mais para forçar falhas ou encontrar vulnerabilidades em momentos que dificultam a mitigação.

Por isso, é essencial a educação e conscientização de todos os funcionários sobre esses perigos, além de atenção especial para a equipe de segurança, que precisa estar ainda mais vigilante e pronta para impedir invasões e/ou reduzir danos no caso de vazamentos.

Como organizações de saúde podem se proteger de cibercrimes?

Os pesquisadores da Check Point Software listaram os principais perigos e recomendações de defesa para evitá-los. Confira:

• Cuidado com os cavalos de Troia: ataques de ransomware geralmente não começam por eles mesmos. O Ryuk e outros tipos de ransomware usam cavalos de troia na fase inicial, que ocorre dias ou semanas antes da ofensiva em si. Portanto, as equipes de segurança devem procurar infecções por ameaças como Trickbot, Emotet, Dridex e Cobalt Strike em suas redes e removê-las antes que possam “preparar o terreno” para os bandidos;
• Alerta nos finais de semana e feriados: a maioria dos ataques de ransomware ocorre nesses períodos. Os cibercriminosos tentam direcionar os momentos em que as equipes de TI e segurança têm maior probabilidade de não estarem em alerta total;
• Uso de antiransomware: ataques de ransomware são sofisticados, mas softwares específicos para combater essas ameaças podem reparar qualquer dano e retornar o máximo possível ao normal em minutos;
• Educação e treinamento de funcionários: os colaboradores da organização devem conseguir reconhecer ameaças potenciais. Muitos ataques cibernéticos começam com phishing direcionado que, embora não contenha malware, usa engenharia social para atrair usuários a clicar em um link malicioso ou fornecer informações confidenciais.
• Atenção às vulnerabilidades: é fundamental corrigir e atualizar versões antigas de software e sistemas. Em hospitais, muitas vezes isso não é possível por vários motivos, como uso de máquinas e programas antigos. Portanto, a recomendação é adotar um sistema de prevenção de intrusões com recursos de correção virtual para evitar tentativas de explorar pontos fracos em sistemas ou aplicativos vulneráveis;
• Proteção com soluções de alto nível: é preciso ficar atento em todos os dispositivos, como computadores, servidores, dispositivos móveis e até mesmo lâmpadas inteligentes. Por isso, é recomendável ter soluções profissionais de segurança e, se necessário, recorrer aos serviços de equipes externas especializadas na detecção de ameaças.