Os ataques de ransomware se tornam mais ameaçadores durante a pandemia, criando dores de cabeça no setor de saúde

Steve Giles estava jantando na área de Los Angeles na sexta-feira, 5 de fevereiro de 2016, quando recebeu um telefonema sinistro.

As redes de computadores do Hollywood Presbyterian Medical Center, o hospital com 434 leitos onde Giles era o principal oficial de informação, estavam paralisadas. “Isso criou pânico, até certo ponto, na equipe de enfermagem e médica”, disse Giles ao Senado da Califórnia semanas depois. “Voltamos imediatamente aos procedimentos de tempo de inatividade.”

Sua equipe acabou correndo para um caixa eletrônico do outro lado da rua, duas vezes, para sacar US $ 17.000 para converter em criptomoeda e pagar os hackers que mantinham os computadores de seu hospital como reféns. Não houve relatos de danos ao paciente decorrentes do incidente.

A equipe de Giles evitou uma grave crise médica, mas o ataque expôs vulnerabilidades em um dos primeiros incidentes de ransomware de alto perfil em um hospital. Quase cinco anos depois, várias organizações de saúde suportaram sua própria versão dessa experiência chocante.

“Eu igualo Hollywood Presbyterian à revelação acidental de que esses hospitais são propensos e são presas, eles apenas não tinham interesse de predador suficiente”, disse Josh Corman, conselheiro sênior para COVID e questões críticas de segurança no Departamento de Segurança Interna Cibersegurança e Segurança de Infraestrutura Agência , disse em entrevista em setembro. “E foi um frenesi alimentar depois.”

Houve mais de 80 ataques de ransomware relatados publicamente contra provedores de saúde em 2020 – mais do que em todo o ano de 2019, de acordo com Allan Liska, um especialista em ransomware da empresa de inteligência de ameaças Recorded Future . Instalações de saúde grandes e pequenas foram afetadas pelo flagelo do ransomware, à medida que os desafios de longa data de segurança cibernética do setor, incluindo restrições de recursos e gerenciamento de atualizações de software, chegaram ao auge durante a pandemia.

Uma lição do SamSam

A pandemia criou novos desafios de segurança de TI no setor de saúde, ao mesmo tempo que agravou os antigos. Por exemplo, as organizações de saúde nos últimos meses confiaram mais nos serviços de telessaúde para tratar pacientes remotamente. Se não for configurada corretamente, essa infraestrutura de TI pode apresentar novas vulnerabilidades que os invasores podem explorar, de acordo com Justine Bone, CEO da empresa de segurança de saúde MedSec.

“Isso se tornou um verdadeiro desafio para nossos clientes durante a pandemia, à medida que os hospitais se esforçavam para erguer plataformas de telessaúde sem passar pelas verificações e balanços normais”, disse Bone.

Em outros casos, as questões de segurança cibernética profundamente enraizadas estão ganhando mais urgência, à medida que as instalações de saúde são ampliadas até sua capacidade pelo coronavírus. Gerenciar atualizações de software, por exemplo, em redes de TI de um hospital em expansão sempre foi difícil para algumas organizações. Mas, em face das ameaças de ransomware intensificadas, a capacidade dos hospitais de atualizar software com bugs imediatamente talvez nunca tenha sido tão importante.

“O gerenciamento da vulnerabilidade [no setor de saúde] é difícil”, disse Ron Pelletier, fundador da Pondurance, empresa de segurança com sede em Indianápolis. “Você não só precisa ficar por dentro, encontrar os problemas e corrigi-los, mas também fazer isso constantemente.”

Pelletier lembra vividamente seu próprio momento “Hollywood Presbiteriano”: o Hancock Regional Hospital, em Indiana, o chamou para ajudar na recuperação de um ataque de  ransomware SamSam em janeiro de 2018. O registro cuidadoso do tráfego de rede do hospital tornou mais fácil rastrear e recuperar do ataque, ele disse.

Pelletier e outros especialistas disseram que as organizações de saúde fizeram melhorias na segurança nos últimos anos. Há um melhor compartilhamento de dados de ameaças no setor e mais consciência do monitoramento de rede, configurações de segurança e processos de gerenciamento de vulnerabilidade necessários para proteger as redes.

“Se você fizer essas coisas, diminuirá a superfície de ataque e os invasores seguirão em frente”, disse Pelletier, ecoando uma conversa estimulante que dá aos clientes.

Corman enfatizou a necessidade de backup offline para dados e a capacidade de restaurar redes após um ataque. “Porque é improvável que você impeça uma campanha motivada e bem financiada, mas se você puder voltar realmente rapidamente, o impacto total no atendimento ao paciente ou na prestação de atendimento ao paciente será reduzido”, disse ele.

Uma ameaça renovada de Ryuk

A economia dos ataques de ransomware no setor de saúde é um problema persistente. Apesar de ter protocolos de segurança implantados, o Hancock Regional Hospital optou por pagar cerca de US $ 45.000 aos invasores para desbloquear seus computadores. Muitas outras organizações têm desembolsado dinheiro para recuperar seus dados.

“Nós, como uma indústria, temos pago muito e estamos incentivando o P&D para que eles voltem contra nós com mais força e melhor”, disse Corman, que advertiu que não estava se referindo a um incidente específico. “Para usar uma analogia médica, é quase como se estivéssemos criando bactérias resistentes a medicamentos. E não vai ser sustentável no curso e velocidade atuais. ”

O problema só aumentou nas últimas duas semanas, uma vez que houve uma onda de suspeitos de  ataques de ransomware Ryuk em instalações de saúde nos Estados Unidos. A gangue criminosa do Leste Europeu por trás dos ataques é conhecida por exigir dezenas de milhões de dólares de grandes organizações, de acordo com a empresa de segurança FireEye. Agências federais emitiram um comunicado sobre uma ameaça cibercriminosa “iminente” aos hospitais dos EUA e realizaram briefings privados para executivos de saúde.

É um teste difícil para o setor de saúde dos Estados Unidos que, por um lado, tem mais consciência das questões de segurança cibernética e apoio do governo do que antes, mas, por outro lado, está afundado em uma pandemia. O objetivo é restaurar os sistemas de computador rapidamente e não permitir que vigaristas de ransomware afetem o atendimento ao paciente.

“Esta última ameaça é única devido ao seu imediatismo, gravidade e potencial para amplo impacto”, disse John Riggi, consultor sênior para segurança cibernética e risco da American Hospital Association. “Felizmente, o campo levou este conselho [do governo] muito, muito a sério e rapidamente reforçou as defesas de segurança cibernética em torno de dispositivos médicos e e-mails de phishing, reforçou backups e testou planos de resposta a incidentes.”

Fonte: https://www.cyberscoop.com/health-care-ransomware-coronavirus-ryuk/