De acordo com dados da Check Point Research (CPR), o braço de inteligência de ameaças da Check Point Software, entre janeiro e setembro de 2024, a média semanal global de ataques por organização no setor de saúde foi de 2.018, representando um aumento de 32% em comparação com o mesmo período do ano passado. Enquanto no Brasil, nos últimos seis meses (abril a setembro deste ano), semanalmente há uma média de 2.976 ataques por organização do setor de saúde no país.
Em todo o mundo, as organizações de saúde continuam enfrentando um aumento preocupante de ciberataques desde o início deste ano. No período analisado pelos pesquisadores da CPR, a região da APAC liderou em volume de ataques, com uma média de 4.556 ataques semanais por organização, um aumento de 54%. A rápida transformação digital nos sistemas de saúde da Ásia-Pacífico, impulsionada pela expansão do acesso a registros digitais de saúde e telemedicina, aumentou as vulnerabilidades, alimentadas pela falta de uma infraestrutura robusta de cibersegurança necessária para proteger contra ameaças avançadas, tornando-os alvos atraentes para cibercriminosos.
Na América Latina, com uma média semanal de 2.703 ataques por organização, um aumento de 34%, esses ataques ocorreram, possivelmente, devido a regulações mais fracas e iniciativas de cibersegurança mal financiadas no setor de saúde, criando pontos de entrada fáceis para os atacantes.
A Europa, apesar de ter experimentado um número menor de ataques semanais (1.686), viu o maior aumento percentual (56%), o que indica uma maior dependência de ferramentas digitais sem investimentos paralelos em sua segurança, tornando-as alvos principais de ransomware e roubo de dados. Enquanto isso, o setor de saúde da América do Norte, que teve uma média de 1.607 ataques semanais com um aumento de 20%, segue como um alvo lucrativo devido à grande quantidade de dados sensíveis de pacientes e à infraestrutura digital estabelecida.
Hospitais e outras instituições de saúde não podem se dar ao luxo de ter interrupções nos serviços, pois isso poderia colocar diretamente em risco a vida dos pacientes. Por outro lado, como mencionado, dados sensíveis de pacientes são uma mercadoria muito valiosa quando negociados na darknet e podem também ser usados como alavanca em extorsões corporativas. E a maior ameaça atualmente, que já paralisou inúmeros hospitais ao redor do mundo, é o ransomware.
A Organização Mundial da Saúde (OMS) declarou o dia 17 de setembro como o Dia Mundial da Segurança do Paciente para destacar os riscos potenciais; a segurança do paciente não se trata apenas de cuidados físicos, mas a saúde e a vida dos pacientes também podem estar em risco no caso de um ciberataque.
O problema é ainda maior porque muitos cibercriminosos estão trabalhando juntos. Alguns oferecem acesso a organizações que já invadiram, enquanto outros oferecem o aluguel de sua infraestrutura por uma taxa. A darknet está cheia de anúncios oferecendo ransomware como serviço (RaaS), de modo que até mesmo cibercriminosos amadores, que de outra forma não teriam o conhecimento técnico e a experiência para realizar ataques tão graves, podem ameaçar hospitais e outras instituições de saúde.
Um exemplo da vida real é um hacker com o apelido Cicada3301, que postou um anúncio em um fórum clandestino de língua russa anunciando uma nova equipe oferecendo ransomware como serviço. Ele apenas solicita uma comissão de 20% em ataques bem-sucedidos.
Isso ilustra como os cibercriminosos de RaaS recrutam seus parceiros e qual é a distribuição padrão de receita. O interessante é que alguns fóruns possuem mecanismos de arbitragem e resolução de disputas nos casos em que as partes discordam sobre pagamento ou serviços entregues. Isso é essencial, já que todas as partes envolvidas se constituem de criminosos que se comunicam em um ambiente anônimo. Como os pesquisadores da Check Point Software ressaltam: o cibercrime opera de acordo com regras semelhantes às dos negócios convencionais.
O hacker Cicada3301 também publicou informações em um site de extorsão especial sobre várias vítimas, incluindo a organização médica italiana ASST Rhodense. O hospital teve de cancelar e reagendar operações como resultado do ataque. E, infelizmente, este não é um caso isolado.
Hospitais e pacientes são frequentemente alvos de ataques de ransomware bem coordenados. Grupos de ransomware fornecem ferramentas de criptografia e infraestrutura para colaboradores, e os dados sensíveis roubados são frequentemente publicados online para pressionar as vítimas a pagarem o resgate. Essa tática explora o medo de pesadas multas por violações de privacidade e o risco à segurança dos pacientes ou à operação dos hospitais.
Negócios na darknet
Além disso, hackers vendem acesso a sistemas hospitalares em fóruns clandestinos. Alguns atuam como intermediários, comprando acesso inicial para avaliar a qualidade para abuso de permissões, mapeando redes e, em seguida, vendendo esse acesso a outros. Por exemplo, um suposto cibercriminoso de língua russa, ativo em fóruns clandestinos desde janeiro de 2024, tem vendido acesso a hospitais brasileiros, oferecendo-o por US$ 250, visando instituições com receitas de US$ 55 milhões, e depois lançando outra rodada de ataques.
“Na maioria dos casos, os cibercriminosos evitam indicar aos seus parceiros quem atacar. Apenas os ataques à Comunidade dos Estados Independentes (CEI) geralmente são tabu, sem outras restrições. Podemos especular que isso se deve à preferência dos hackers em não atacar os países nos quais operam. Nos primeiros dias, alguns grupos de RaaS afirmavam que não atacariam organizações relacionadas à saúde, o que foi posteriormente modificado para que os ataques não incluíssem criptografia de dados para evitar a interrupção dos serviços, mas o roubo de dados e a extorsão são permitidos. Na prática, nenhuma dessas regras é seguida”, explica Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Research (CPR). “Uma análise das vítimas publicamente extorquidas nos sites dos grupos de ransomware mostrou que quase 10% das vítimas no último ano são do setor de saúde.”
As diferenças entre os grupos são em sua maioria sutis. Mas há exceções. O ALPHV/BlackCat incentivou publicamente seus parceiros a se concentrarem especificamente em hospitais e saúde. Isso supostamente foi uma forma de vingança pela operação policial contra a infraestrutura do grupo. Como resultado, a proporção de vítimas do setor de saúde alcançou mais de 15% nos últimos 12 meses.
O RansomHub, o grupo de ransomware mais ativo em julho e agosto passados, publicou um anúncio em um fórum da Dark Web prometendo que 90% da receita do resgate poderia ser mantida pelos parceiros, com apenas 10% a serem pagos ao grupo pela infraestrutura fornecida. Em troca, os parceiros receberiam ferramentas sofisticadas de gerenciamento de ataques e outros benefícios.
O anúncio imitou empresas tradicionais oferecendo seus serviços e demonstrando suas vantagens competitivas. Isso mais uma vez mostra que o cibercrime é um negócio puro, com muitas organizações de hackers não sendo estruturalmente diferentes de outras empresas de tecnologia.
A importância da cibersegurança na saúde
“Em alguns casos, vemos que, se um ataque ocorre, outro pode seguir relativamente rápido. Os cibercriminosos contam com o fato de que talvez haja uma falha na recuperação adequada, que ainda possa haver algum caos ou uma subestimação porque os hospitais não esperam ser alvo repetidamente”, acrescenta Sergey Shykevich.
“Em resumo, as organizações de saúde enfrentam um enorme risco e os pacientes muitas vezes são mantidos como reféns. Portanto, não é apenas no Dia Mundial da Segurança do Paciente que devemos nos lembrar de que a prevenção também é essencial para proteger contra vírus de computador, infecções cibernéticas, ameaças e ataques. Garantir a segurança do paciente na era digital requer não apenas soluções tecnológicas, mas também uma cultura de segurança e consciência contínua sobre ameaças”, reforça o especialista da Check Point Software.
Dicas de segurança para organizações de saúde
Para garantir a cibersegurança no setor da saúde, é essencial adotar medidas abrangentes, incluindo soluções tecnológicas, treinamento de funcionários e políticas de segurança aprimoradas. As etapas-chave incluem:
Cuidado com Trojans. Os ataques de ransomware geralmente não começam com o ransomware diretamente, mas usam Trojans (ou cavalos de Troia) para acesso inicial. A infecção por Trojan ocorre dias ou semanas antes do ataque de ransomware.
Estar em alerta nos finais de semana e feriados. A maioria dos ataques de ransomware ocorre durante esses períodos, quando as equipes de TI podem estar fora de serviço, diminuindo o tempo de resposta.
Usar solução anti-ransomware. Para prevenir ataques sofisticados de ransomware, uma solução anti-ransomware pode detectar atividades ou comportamentos incomuns, reparar danos e retornar tudo ao normal em minutos, prevenindo danos massivos.
Fazer backup dos dados. Backups consistentes garantem uma recuperação rápida dos dados, sem pagar um resgate, tornando os backups consistentes necessários, incluindo backups automáticos nos dispositivos dos funcionários.
Segmentar e limitar o acesso apenas às informações necessárias. Restrinja o acesso dos usuários aos dados necessários e segmente redes para evitar que um ataque se espalhe. Embora lidar com as consequências de um ataque possa ser difícil, reparar as consequências de um ataque em toda a rede é muito mais desafiador.
Educação e treinamento são partes essenciais da proteção. Treine os funcionários para reconhecer phishing e outras ameaças cibernéticas para evitar cair em engenharia social.
Instalar atualizações e patches regularmente. O WannaCry atingiu organizações ao redor do mundo em maio de 2017, infectando mais de 200 mil computadores em três dias. No entanto, um patch para a vulnerabilidade EternalBlue estava disponível um mês antes do ataque. Atualize regularmente softwares e sistemas para evitar que vulnerabilidades sejam exploradas ou use um Sistema de Prevenção de Intrusões (IPS) com capacidades de patch virtual, se as atualizações não forem possíveis.
Garantir senhas fortes e não padrão, especialmente em servidores expostos à Internet. Senhas padrão são alvos fáceis para atacantes, então atualizá-las com combinações complexas e difíceis de adivinhar, além de autenticação de múltiplos fatores (MFA), pode reduzir significativamente o risco de acesso não autorizado e adicionar uma camada extra de proteção.
Estrutura Legal e Regulatória. Cumprir com padrões e regulamentações nacionais e internacionais de privacidade é essencial para garantir a segurança do paciente.
Proteger tudo e optar pelo melhor. Proteja todos os dispositivos, desde computadores, servidores, dispositivos móveis, até lâmpadas inteligentes ou qualquer outro dispositivo IoT (Internet das Coisas) ou IoMT (Internet das Coisas Médicas), e use as melhores soluções de segurança e, se necessário, equipes externas especializadas em detecção e busca às ameaças.