
Ciberataque ao site do Ministério da Saúde, mais um caso de ransomware? Infelizmente mais um ciberataque foi infringido contra uma organização pública, desta vez, o Ministério da Saúde. Na madrugada de hoje, 10 dez. 21, por volta da 1 hora, o grupo de cibercriminosos Lapsus$ Group invadiu os sistemas deste ministério o que acarretou a impossibilidade ao acesso ao seu site, ao Portal Covid e a sistemas, como o ConecteSUS, o e-SUS Notifica, o Sistema de Informação do Programa Nacional de Imunização (SI-PNI).
Atenção: este artigo trata de fatos correntes e poderá ter seu conteúdo atualizado, para melhor descrever os acontecimentos ao longo dos próximos dias. Última atualização: 10 dez. 2021, às 20h30.
Os cibercriminosos do Lapsus$ Group assumiram a autoria do ataque e informaram que realizaram o download de cerca de 50 terabytes de dados, e no site do Ministério da Saúde, que ainda encontrava-se fora do ar, no início da manhã, foi possível ver a seguinte mensagem:
“Nos contate caso queiram o retorno dos dados.”
Lapsus$ Group

Ao que tudo indicava, parecia ser mais um caso de ransomware. O Ministério da Saúde não havia dado muitos detalhes sobre este incidente de segurança da informação e privacidade, contudo informou que a Polícia Federal e o Gabinete de Segurança Institucional já haviam sido acionados para investigarem este incidente. Geralmente quando ataques envolvendo ransomwares acontecem, há pedidos de “resgates” para o restabelecimento do acesso, o que geralmente é feito em criptomoedas (moeda virtual).
Sobre o ConecteSUS, os usuários ficaram impossibilitados de acessarem os seus comprovantes de vacinação ou até mesmo o aplicativo. É importante ressaltar que por todo o país, algumas organizações adotaram protocolos sanitários e de biossegurança para o retorno presencial seguro, e dentre estas medidas, está a exigência de apresentação de comprovante de vacinação completo e atualizado, duas doses ou dose única, quando aplicável, como condição para o acesso e a permanência no interior das dependências de uso individual e coletivo.
O ConecteSUS é o aplicativo responsável pela emissão do Certificado Nacional de Vacinação Covid-19, exigido para acessar locais públicos. Até o momento, o comprovante é exigido em 19 capitais do Brasil.
“Uma atitude criminosa, de um hacker, que tá sendo investigada pela Polícia Federal, pelo Gabinete de Segurança Institucional. Hoje, o empenho total é para esses dados estarem disponíveis no mais curto prazo possível. Está sendo investigado e assim que tiver alguém culpado será exemplarmente punido.”
Ministro da Saúde, Marcelo Queiroga

O Departamento de Informática do SUS, Datasus, está trabalhando para tentar restaurar os dados supostamente sequestrados. Contudo, ainda não é possível prever sucesso nesse esforço. O que podemos afirmar é que visto a quantidade de informações, poderá ser um trabalho longo e demorado.
Vale à pena ressaltar que em setembro deste ano, o website da Agência Nacional de Vigilância Sanitária (ANVISA) também foi vítima de cibercriminosos. Contudo o dano causado não se comparado ao incidente de hoje, já que o ataque foi do tipo defacement, ou seja, modificação de estética da página web, sem alteração de dados ou impacto nos demais sistemas da instituição. Neste ataque, os cibercriminosos trocaram o conteúdo por uma bandeira da Argentina e uma mensagem. O site alvo da ação é utilizado para o preenchimento da Declaração de Saúde do Viajante (DSV), um documento obrigatório para todos os turistas vindos do exterior que desejam entrar no Brasil por via aérea.
O ataque ocorreu três dias depois da suspensão do jogo entre Brasil e Argentina, pelas Eliminatórias da Copa do Mundo de 2022. A partida foi cancelada após a agência entrar em campo para retirar atletas argentinos que descumpriram a exigência de quarentena prévia para entrada no país.
Ao que tudo indica, o referido incidente não foi um ciberataque com emprego de ransomware, mas sim mais um caso de defacing. Desta vez, ocorreu um redirecionamento para uma página que substituiu a original, com a mensagem do grupo criminoso. Sendo assim, o incidente é um caso de DNS Spoofing e não de ransomware.
No início da tarde do mesmo dia, a Polícia Federal (PF) informou que não houve vazamento de dados e confirmou não ser um incidente envolvendo ransomware.
Segundo matéria publicada pelo Olhar Digital, um colaborador do grupo hacktivista Anonymous informou que é provável que alguém que sabia que o Domain Name Service (DNS) não era alterado desde 2020, entrou na conta da Amazon Web Services (AWS) e alterou o servidor para o IP onde se encontra a deface.
“Grande parte do sistema segue online através de outros IPs. Se você verificar a origem do deface não se encontra no host atual do SUS e sim em um serviço no Japão.”
Colaborador do grupo hacktivista Anonymous


Diante da repercussão sobre o incidente de segurança ocorrido no site do ConecteSUS, do Ministério da Saúde, a Autoridade Nacional de Proteção de Dados (ANPD), através de Nota Oficial, informou que está ciente e já está acompanhando o caso. O Ministério da Saúde foi notificado pela ANPD para prestar esclarecimentos, conforme determina a LGPD. O Gabinete de Segurança Institucional – GSI e a Polícia Federal foram contatados para que possam cooperar com a investigação e a fiscalização.

Independente de ter sido ransomware ou defacement, o fato indiscutível é que o incidente acarretou paralisação de serviços essencias do Ministério da Saúde, e gerou impacto na sociedade. Até a contabilização do número de casos e óbtidos ocasionadas pela Covid-19 foi afetada. Outro fato relevante é a dificuldade de obtenção de detalhes do ocorrido. É importante lembrar que o próprio Ministério da Saúde tem assento no Comitê Gestor da Segurança da Informação (CGSI).
Ministério da Saúde vs Lapsus$
O Ministério da Saúde informou, em 13 dez., que pode sim, ter sido alvo de ataque cibernético. O órgão ainda está enfrentando dificuldades para restabelecer o funcionamento de seus sistemas.
Há indícios de o órgão ter sofrido um ataque cibernético, embora não haja laudo conclusivo. O ministério não divulgou informações até agora para preservar dados e não comprometer provas
Élcio Franco, secretário-executivo do Ministério da Saúde
Em 14 dez., colaboradores do grupo Lapsus$ iniciaram o dump de dados, despejo de dados na internet, supostamente oriundos da referida invasão através de um canal no Telegram. Segundo eles, a invasão permitiu acesso ao vCenter Server, viabilizando a administração dos recursos da nuvem e de máquinas virtuais do Ministério da Saúde.
NBR ISO 27799:2021
A ABNT NBR ISO/IEC 27002 já está sendo amplamente utilizada para a gestão de segurança de TI em informática em saúde por meio de diretrizes nacionais ou regionais na Austrália, Canadá, França, Holanda, Nova Zelândia, África do Sul, Reino Unido dentre outros. Esta expertise deu origem à ABNT NBR ISO 27799, de 2019, que baseia-se nesta experiência adquirida nestes esforços nacionais em matéria de segurança das informações pessoais de saúde e destina-se a ser um documento complementar à ABNT NBR ISO/IEC 27002.
O texto desta norma está extremamente rico e sem dúvida pode ajudar bastante a ampla gama de tamanhos, locais e modelos de prestação de serviços encontrados na assistência à saúde (independentemente do tamanho, localização e modelo de prestação de serviços).
Esta norma fornece orientações para as organizações de saúde, e outros guardiões de informações pessoais de saúde, sobre a melhor forma de proteger a confidencialidade, integridade e disponibilidade (CID) destas informações. Atualmente, há mais dois itens, que agora passam a incorporar os 5 Pilares da Segurança da Informação. Esses dois novos membros são igualmente de alta relevância aos trabalhos de proteção do conhecimento, sendo eles: Autenticidade, que garante que em um processo de comunicação os remetentes não se passem por terceiros e nem que a mensagem sofra alterações durante o envio, com sua fonte anunciada; e Legalidade: Garante que as informações foram produzidas respeitando a legislação vigente.
A NBR 27799 baseia-se e amplia a orientação geral fornecida pela ABNT NBR ISO/IEC 27002:2013, além de abordar as necessidades de gerenciamento de segurança de informações especiais do setor de saúde e seus ambientes operacionais exclusivos.
Existem requisitos especiais no setor de saúde que precisam ser cumpridos para garantir a CID e a auditabilidade de informações pessoais de saúde. É importante evidenciar que os dados pessoais, dados pessoais sensíveis e demais informações de saúde são consideradas, por muitos, como as mais confidenciais de todos os tipos de informações pessoais.
A ACPD Brasil oferece cursos, sob demanda sobre esta norma!
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27799: Informática em saúde – Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002. Rio de Janeiro: ABNT, 2019.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. ANPD fiscaliza incidente do Ministério da Saúde e Conecte SUS. Disponível: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-fiscaliza-incidente-ao-site-do-conectsus. Acesso em: 10 dez. 2021.
BRASIL. Comitê Gestor da Segurança da Informação – CGSI. Brasília, DF: Presidência da República, [2020]. Disponível em: https://www.gov.br/gsi/pt-br/assuntos/dsi/comite-gestor-da-seguranca-da-informacao-cgsi. Acesso em: 10 dez. 2021.
BRASIL. Decreto no 9.637, de 26 de dezembro de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938. Acesso em: 10 dez. 2021.
BRASIL. Decreto no 10.849, de 28 de outubro de 2021. Brasília, DF: Presidência da República, [2021]. Disponível em: https://www.in.gov.br/en/web/dou/-/decreto-n-10.849-de-28-de-outubro-de-2021-355816710. Acesso em: 13 out. 2021.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 10 dez. 2021.
CISO ADVISOR. Grupo vaza 293 MB de dados, diz serem do Ministério da Saúde. Disponível em: https://www.cisoadvisor.com.br/grupo-vaza-gitlab-do-ministerio-da-saude. Acesso em: 17 dez. 2021.
CISO ADVISOR. Ministério da Saúde admite que pode ter sofrido ataque cibernético. Disponível em: https://www.cisoadvisor.com.br/grupo-vaza-gitlab-do-ministerio-da-saude. Acesso em: 17 dez. 2021.
CNN BRASIL. Site do Ministério da Saúde sofre ataque hacker durante madrugada e sai do ar. Disponível em: https://www.cnnbrasil.com.br/nacional/site-do-ministerio-da-saude-sofre-ataque-hacker-durante-madrugada-e-sai-do-ar. Acesso em: 10 dez. 2021.
CONVERGÊNCIA DIGITAL. Sistemas do Ministério da Saúde sobre vacinação sofrem ataque de ransomware. Disponível em: https://www.convergenciadigital.com.br/Seguranca/Sistemas-do-Ministerio-da-Saude-sobre-vacinacao-sofrem-ataque-ransomware-59004.html. Acesso em: 10 dez. 2021.
G1. Aplicativo do ConecteSUS deixa de apresentar vacinas; site está fora do ar. Disponível em: https://g1.globo.com/saude/noticia/2021/12/10/site-do-ministerio-da-saude-sofre-ataque-de-hackers-e-sai-do-ar.ghtml. Acesso em: 10 dez. 2021.
OLHAR DIGITAL. Anonymous descobre que “ataque ransomware” ao Ministério da Saúde era outra coisa; PF confirma. Disponível em: https://olhardigital.com.br/2021/12/10/seguranca/anonymous-pf-ransomware-ministerio-saude. Acesso em: 10 dez. 2021.
OLHAR DIGITAL. Site do Ministério da Saúde é tirado do ar e vacinas somem do ConecteSUS; Poupatempo funciona normalmente. Disponível em: https://olhardigital.com.br/2021/12/10/seguranca/ataque-hacker-tira-do-ar-os-sites-do-ministerio-da-saude-e-do-conectesus. Acesso em: 10 dez. 2021.