Ecossistema global de ransomware mira setor de saúde, incluindo no Brasil

De acordo com dados da Check Point Research (CPR), o braço de inteligência de ameaças da Check Point Software, entre janeiro e setembro de 2024, a média semanal global de ataques por organização no setor de saúde foi de 2.018, representando um aumento de 32% em comparação com o mesmo período do ano passado. Enquanto no Brasil, nos últimos seis meses (abril a setembro deste ano), semanalmente há uma média de 2.976 ataques por organização do setor de saúde no País.

Em todo o mundo, as organizações de saúde continuam enfrentando um aumento preocupante de ciberataques desde o início deste ano. No período analisado pelos pesquisadores da CPR, a região da APAC liderou em volume de ataques, com uma média de 4.556 ataques semanais por organização, um aumento de 54%. A rápida Transformação Digital nos sistemas de saúde da Ásia-Pacífico, impulsionada pela expansão do acesso a registros digitais de saúde e telemedicina, aumentou as vulnerabilidades, alimentadas pela falta de uma infraestrutura robusta de cibersegurança necessária para proteger contra ameaças avançadas, tornando-os alvos atraentes para cibercriminosos.

Na América Latina, com uma média semanal de 2.703 ataques por organização, um aumento de 34%, esses ataques ocorreram, possivelmente, devido a regulações mais fracas e iniciativas de cibersegurança mal financiadas no setor de saúde, criando pontos de entrada fáceis para os atacantes.

A Europa, apesar de ter experimentado um número menor de ataques semanais (1.686), viu o maior aumento percentual (56%), o que indica uma maior dependência de ferramentas digitais sem investimentos paralelos em sua segurança, tornando-as alvos principais de ransomware e roubo de dados. Enquanto isso, o setor de saúde da América do Norte, que teve uma média de 1.607 ataques semanais com um aumento de 20%, segue como um alvo lucrativo devido à grande quantidade de dados sensíveis de pacientes e à infraestrutura digital estabelecida.

Alvo crítico

Hospitais e outras instituições de saúde não podem se dar ao luxo de ter interrupções nos serviços, pois isso poderia colocar diretamente em risco a vida dos pacientes. Por outro lado, como mencionado, dados sensíveis de pacientes são uma mercadoria muito valiosa quando negociados na darknet e podem também ser usados como alavanca em extorsões corporativas. E a maior ameaça atualmente, que já paralisou inúmeros hospitais ao redor do mundo, é o ransomware.

A Organização Mundial da Saúde (OMS) declarou o dia 17 de setembro como o Dia Mundial da Segurança do Paciente para destacar os riscos potenciais; a segurança do paciente não se trata apenas de cuidados físicos, mas a saúde e a vida dos pacientes também podem estar em risco no caso de um ciberataque.

O problema é ainda maior porque muitos cibercriminosos estão trabalhando juntos. Alguns oferecem acesso a organizações que já invadiram, enquanto outros oferecem o aluguel de sua infraestrutura por uma taxa. A darknet está cheia de anúncios oferecendo ransomware como serviço (RaaS), de modo que até mesmo cibercriminosos amadores, que de outra forma não teriam o conhecimento técnico e a experiência para realizar ataques tão graves, podem ameaçar hospitais e outras instituições de saúde.

Um exemplo da vida real é um hacker com o apelido Cicada3301, que postou um anúncio em um fórum clandestino de língua russa anunciando uma nova equipe oferecendo ransomware como serviço. Ele apenas solicita uma comissão de 20% em ataques bem-sucedidos.

Isso ilustra como os cibercriminosos de RaaS recrutam seus parceiros e qual é a distribuição padrão de receita. O interessante é que alguns fóruns possuem mecanismos de arbitragem e resolução de disputas nos casos em que as partes discordam sobre pagamento ou serviços entregues. Isso é essencial, já que todas as partes envolvidas se constituem de criminosos que se comunicam em um ambiente anônimo. Como os pesquisadores da Check Point Software ressaltam: o cibercrime opera de acordo com regras semelhantes às dos negócios convencionais.

O hacker Cicada3301 também publicou informações em um site de extorsão especial sobre várias vítimas, incluindo a organização médica italiana ASST Rhodense. O hospital teve de cancelar e reagendar operações como resultado do ataque. E, infelizmente, este não é um caso isolado.

Hospitais e pacientes são frequentemente alvos de ataques de ransomware bem coordenados. Grupos de ransomware fornecem ferramentas de criptografia e infraestrutura para colaboradores, e os dados sensíveis roubados são frequentemente publicados online para pressionar as vítimas a pagarem o resgate. Essa tática explora o medo de pesadas multas por violações de privacidade e o risco à segurança dos pacientes ou à operação dos hospitais.

Negócios na darknet

Além disso, hackers vendem acesso a sistemas hospitalares em fóruns clandestinos. Alguns atuam como intermediários, comprando acesso inicial para avaliar a qualidade para abuso de permissões, mapeando redes e, em seguida, vendendo esse acesso a outros. Por exemplo, um suposto cibercriminoso de língua russa, ativo em fóruns clandestinos desde janeiro de 2024, tem vendido acesso a hospitais brasileiros, oferecendo-o por US$ 250, visando instituições com receitas de US$ 55 milhões, e depois lançando outra rodada de ataques.

“Na maioria dos casos, os cibercriminosos evitam indicar aos seus parceiros quem atacar. Apenas os ataques à Comunidade dos Estados Independentes (CEI) geralmente são tabu, sem outras restrições. Podemos especular que isso se deve à preferência dos hackers em não atacar os países nos quais operam. Nos primeiros dias, alguns grupos de RaaS afirmavam que não atacariam organizações relacionadas à saúde, o que foi posteriormente modificado para que os ataques não incluíssem criptografia de dados para evitar a interrupção dos serviços, mas o roubo de dados e a extorsão são permitidos. Na prática, nenhuma dessas regras é seguida”, explica Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Research (CPR). “Uma análise das vítimas publicamente extorquidas nos sites dos grupos de ransomware mostrou que quase 10% das vítimas no último ano são do setor de saúde”, afirmou.