+55 (21) 2505-9393
+55 (21) 99731-6528
contato@acpdbrasil.com

Ransomware: Saúde em risco, a importância de não pagar resgate

Conformidade, Proteção e Privacidade de Dados

Ransomware. Para quem já assistiu treinamentos e palestras e outros artigos da ACPD Brasil sobre o tema, já está familiarizado com a estratégia de não se curvar a cibercriminosos e pagar resgate para descriptografia de bancos de dados. Inclusive autoridades, como o próprio FBI, vem fazendo apelos e alertas para que as empresas não sigam este caminho. Contudo, não foi o que a Change Healthcare, do UnitedHealthcare Group fez. E isto veio à tona.

A empresa admitiu tardiamente tanto que pagou os cibercriminosos que a estavam extorquindo e que mesmo assim, os dados pessoais sensíveis dos pacientes acabaram indo, mesmo assim, parar na Dark Web.

Mais de dois meses após o início de um incidente envolvendo ransomware cujo impacto se classifica entre os piores da história da cibersegurança, a empresa médica Change Healthcare confirmou finalmente o que os cibercriminosos, os pesquisadores de segurança e o blockchain do Bitcoin já haviam deixado muito claro: que realmente a empresa pagou um resgate aos cibercriminosos responsáveis pelo ataque, em fevereiro. E ainda assim, ela ainda enfrenta o risco de perder vastas quantidades de dados pessoais sensíveis de pacientes.

Em um comunicado enviado a veículos de notícias, na segunda-feira à noite, a Change Healthcare escreveu que pagou um resgate a um grupo de cibercriminosos que estão extorquindo a empresa desde fevereiro, um grupo de hackers conhecido como AlphV ou BlackCat:

“Um resgate foi pago como parte do compromisso da empresa em fazer tudo o que podia para proteger os dados dos pacientes contra divulgação”, diz o comunicado. A admissão tardia da empresa desse pagamento acompanhou uma nova postagem em seu site onde alerta que os hackers podem ter roubado dados relacionados à saúde que “cobririam uma proporção substancial das pessoas nos Estados Unidos”.

Change Heatlhcare

Pesquisadores de cibersegurança e de criptomoeda disseram no mês passado que a Change Healthcare aparentemente pagou esse resgate em 1º de março, apontando para uma transação de 350 bitcoins ou aproximadamente US$ 22 milhões enviados para uma carteira de criptomoeda associada aos hackers AlphV. Essa transação foi destacada inicialmente em uma mensagem em um fórum de cibercriminosos russo conhecido como RAMP, onde um dos parceiros supostamente desprezados da AlphV reclamou que não havia recebido sua parte do pagamento da Change Healthcare, conforme publicamos no artigo sobre este incidente. No entanto, nas semanas seguintes a essa transação, a Change Healthcare repetidamente se recusou a confirmar se havia pago o resgate.

A confirmação do pagamento dessa extorsão pela Change Healthcare dá um novo peso aos temores da indústria de cibersegurança de que o ataque – e o lucro extraído dele pela AlphV – levará grupos de ransomware a direcionar ainda mais as empresas de saúde.

“Isso incentiva 100% outros cibercriminosos a mirarem em organizações de saúde. Esta é uma das indústrias que não queremos que os cibercriminosos que utilizam ransomware ataquem – especialmente quando afeta hospitais.”

Jon DiMaggio, pesquisador da empresa de cibersegurança Analyst1

Agravando a situação, um conflito entre cibercriminosos no ecossistema de ransomware levou a um segundo grupo de ransomware a alegar que possui os dados extraídos da Change Healthcare e segue ameaçando vendê-los ao maior lance na Dark Web. No início deste mês, esse segundo grupo, conhecido como RansomHub, enviou a meios de comunicação supostas amostras dos dados roubados que pareciam vir da rede da Change Healthcare, incluindo registros de pacientes e um contrato com outra empresa de saúde.

Até segunda-feira, estranhamente, a listagem desses dados no site da dark web do RansomHub havia sido removida. No entanto, a postagem da Change Healthcare em seu site adverte que 22 capturas de tela de seus dados foram postadas na Dark Web por um grupo de cibercriminosos não identificado, e que incluíam informações de saúde protegidas (PHI) ou dados pessoais sensíveis, embora tenha dito que não viu nenhum sinal de que registros médicos como fichas de médicos ou históricos médicos completos de pacientes estivessem entre os dados roubados.

Para a Change Healthcare e as práticas médicas, hospitais e pacientes aflitos que dependem dela, a confirmação do pagamento de extorsão aos cibercriminosos adiciona uma nota amarga a uma história já distópica. A paralisia digital da Change Healthcare pela AlphV, uma subsidiária do UnitedHealth Group, atrapalhou a aprovação de seguros para receitas médicas e procedimentos médicos para centenas de práticas médicas e hospitais em todos os Estados Unidos, tornando-se, por algumas medidas, a interrupção de ransomware médico mais impactante já registrada. Uma pesquisa com membros da American Medical Association, realizada entre 26 de março e 3 de abril, constatou que quatro em cada cinco clínicos perderam receita como resultado da crise. Muitos disseram que estavam usando suas próprias finanças pessoais para cobrir as despesas. Enquanto isso, a Change Healthcare afirma ter perdido US$ 872 milhões com o incidente e projeta que esse número subirá bem acima de um bilhão a longo prazo.

A confirmação do pagamento do resgate pela Change Healthcare agora parece mostrar que grande parte das consequências catastróficas para o sistema de saúde dos EUA se desenrolou depois que a empresa já havia pago a quantia exorbitante – um pagamento em troca de uma chave de descriptografia para os sistemas que os cibercriminosos haviam criptografado e uma promessa de não divulgar os dados extraídos da empresa. Como frequentemente acontece em ataques de ransomware, a interrupção dos sistemas pela AlphV parece ter sido tão generalizada que o processo de recuperação da Change Healthcare se estendeu muito além do momento em que obteve a chave de descriptografia projetada para desbloquear seus sistemas.

Em termos de pagamentos de ransomware, US$ 22 milhões não seriam o maior valor já pago por uma vítima. Mas está perto, diz Brett Callow, um pesquisador de segurança focado em ransomware. Apenas alguns pagamentos raros, como os US$ 40 milhões pagos a cibercriminosos pela CNA Financial em 2021, superam esse número. “Não é sem precedentes, mas certamente é muito incomum”, disse Callow sobre a cifra de US$ 22 milhões.

Essa injeção de US$ 22 milhões de fundos no ecossistema de ransomware alimenta ainda mais um ciclo vicioso que atingiu proporções epidêmicas. A empresa de rastreamento de criptomoedas Chainalysis descobriu que, em 2023, as vítimas de ransomware pagaram aos cibercriminosos um total de US$ 1,1 bilhão, um novo recorde. O pagamento da Change Healthcare pode representar apenas uma pequena parcela desse montante. Mas ele tanto recompensa a AlphV por seus ataques altamente prejudiciais quanto pode sugerir a outros grupos de ransomware que as empresas de saúde são alvos especialmente lucrativos, dado que essas empresas são especialmente sensíveis tanto ao alto custo financeiro desses ataques cibernéticos quanto aos riscos que representam para a saúde dos pacientes.

Agravando a bagunça da Change Healthcare está uma aparente traição dentro do submundo do ransomware: a AlphV, pelo que parece, forjou seu próprio desmantelamento pelas autoridades após receber o pagamento da Change Healthcare na tentativa de evitar compartilhá-lo com seus chamados afiliados, os cibercriminosos que trabalham com o grupo para penetrar os sistemas de suas vítimas em seu nome. O segundo grupo de ransomware que ameaça a Change Healthcare, o RansomHub, agora afirma que obteve os dados extraídos desses afiliados, e que ainda querem ser pagos pelo seu trabalho.

Isso criou uma situação em que o pagamento da Change Healthcare oferece pouca garantia de que seus dados comprometidos não serão explorados por cibercriminosos desta cadeia, que seguem insatisfeitos.

Tudo isso significa que a Change Healthcare ainda tem pouca garantia de que evitou um cenário ainda pior do que enfrentou até agora: pagar o que pode ser um dos maiores resgates da história e ainda ver seus dados vazarem para a Dark Web.

E a sua empresa, o que tem feito para evitar estes cenários indesejados? Não fique de braços cruzados, a ACPD Brasil tem produtos que podem ajudar você. Entre em contato.

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Open chat
Olá 👋
Como podemos te ajudar?