O laboratório de ameaças da Netskope publicou uma pesquisa que revela os ataques com intenção de roubo de informações, como malware e ransomware, foram os mais utilizados para atingir o setor de saúde. Inclusive o setor de saúde esteve entre os principais afetados ao longo de 2023 por mega violações, ou seja, ataques nos quais mais de um milhão de registros foram roubados.
Conhecidos como “infostealers”, o termo se refere a uma família de malware proeminente para o setor de saúde, pois os invasores tentam roubar dados valiosos de organizações e pacientes para pedir altos valores em resgate de dados ou para fins de chantagear ainda mais ou resgatar os dados. A gangue Clop, especializada em ransomware, se destacou nas atividades que visaram as empresas de saúde e convênios. E saúde figurou entre os setores mais impactados em 2023 por mega violações, ataques com registro de roubo de mais de um milhão de registros.
A pesquisa também analisou o aumento contínuo no uso de aplicações em nuvem em organizações de saúde e as tendências de ataques de malware em todo o setor. O cenário de entrega de malware na nuvem terminou o ano com aproximadamente 40% dos downloads no setor de saúde, após um pico de 50% em junho, que caiu um pouco no segundo semestre do ano. A saúde teve uma tendência ligeiramente inferior a outras indústrias, mas a distribuição de malware por meio da nuvem no setor cresceu consideravelmente ano após ano, registrando 10% a mais em 2023, em relação ao ano anterior.
O setor de saúde parece ter a menor porcentagem de malware proveniente da nuvem nos últimos 12 meses, ficando em 6º lugar, atrás de telecomunicações, serviços financeiros, manufatura, varejo, tecnologia, governos estadual e local e educação.
As aplicações em nuvem são cada vez mais alvo de malware, pois oferecem aos invasores a capacidade de escapar dos controles de segurança tradicionais que dependem de ferramentas como listas de bloqueio de domínio e monitoramento do tráfego da Web. Além disso, esses ataques afetam empresas que não aplicam princípios de zero trust (confiança zero) para inspecionar o tráfego na nuvem de forma rotineira.
Malwares mirando OneDrive e Slack
Embora o Microsoft OneDrive permaneça como a aplicação mais popular no setor de saúde, seu uso em 2023 foi significativamente menor do que em outros setores. Como resultado, os downloads de malware por meio do OneDrive foram 12 pontos percentuais inferiores aos de outros setores.
A prevalência geral de ataques de malware originados no OneDrive reflete a fusão de táticas de violação (uso do OneDrive para distribuir malware) e o comportamento da vítima (sua probabilidade de clicar nos links e baixar o malware), juntamente com a popularidade generalizada do OneDrive.
O Slack ficou em segundo lugar em uploads (atrás do OneDrive) e em quinto lugar em downloads, uma posição significativamente maior do que em outros setores. No entanto, essa tendência de uso não se correlacionou com a quantidade de downloads de malware na aplicação – sequer estava entre as 10 principais fontes.
Como o Slack é uma aplicação empresarial robusta, os invasores precisam usar táticas e conteúdos diferentes para atingir usuários que precisam aceitar ou compartilhar convites para canais externos. Este é um processo mais complexo quando comparado com outros aplicativos de mensagens, como o WhatsApp, que poderiam ser usados em um dispositivo corporativo. Em vez disso, os invasores usariam o Slack como servidor de comando e controle, já que sua API fornece um mecanismo flexível para fazer upload ou transferir dados sem autorização.
O executivo Paolo Passeri, diretor de Inteligência Cibernética na Netskope, fornece uma visão geral do relatório. “Os infostealers estão entre as principais ameaças ao setor de saúde e isso se reflete no fato de que muitas organizações do segmento foram alvo de mega violações em 2023 e estão entre os principais alvos da campanha massiva Clop.
“É claro que este modus operandi não é surpreendente devido aos tipos de dados pessoais geridos por estas empresas, mas é especialmente eficaz porque os atacantes não precisam criptografar necessariamente os dados num ataque de ransomware. Em vez disso, transferem as informações roubadas e as utilizam para chantagear a vítima (ou os clientes/pacientes)”, segue ele.
“O malware e os infostealers não devem ser a única preocupação para o setor da saúde. As empresas precisam também considerar a vulnerabilidade da cadeia de suprimento e aplicar aos terceiros a mesma estratégia de zero trust que aplicariam na sua própria organização”, conclui.