0
0
A explosão de ransomware contra o setor de saúde continua: uma clínica de Utah relatou um ataque que potencialmente afetou 320.000 pacientes, tornando-o uma das maiores violações desse tipo até agora este ano.
A Premier Family Medical, uma clínica com 10 locais em Utah, relatou a violação ao Departamento de Saúde e Serviços Humanos em 7 de setembro.
“É seguro dizer que os ataques de ransomware à saúde não diminuirão tão cedo”, diz o ex-CIO da área de saúde David Finn, vice-presidente executivo da consultoria de segurança CynergisTek. “Eles certamente continuarão evoluindo e mudando para explorar novas vulnerabilidades e usar novos ataques ‘sociais’ – pense em solicitações de e-mail para ajudar na recuperação do furacão Dorian”.
Premier Attack
Em uma declaração de 30 de agosto, a Premier Family Medical afirma que, em 8 de julho, a prática sofreu um ataque de ransomware.
“Como resultado, o Premier ficou temporariamente incapaz de acessar dados de certos sistemas dentro de sua organização. O Premier informou prontamente a polícia e contratou consultores técnicos para investigar e recuperar o acesso”, diz o comunicado.
“Adoramos estar no negócio de cuidar de pacientes e entendemos que isso inclui a proteção de suas informações de saúde”, afirma Robert Edwards, administrador-chefe da Premier, que supervisiona os programas de segurança cibernética e privacidade da Premier. “Embora nossa investigação não tenha encontrado motivos para acreditar que as informações dos pacientes foram acessadas ou capturadas, estamos muito preocupados que esse evento tenha ocorrido e que tenhamos tomado medidas para melhorar ainda mais a segurança de nossos sistemas”.
Os pacientes que foram tratados em qualquer um dos 10 locais do Premier Utah County estão sendo notificados do incidente de ransomware que pode expor seus dados.
A Premier Family Health se recusou a divulgar se pagou um resgate para recuperar o acesso aos seus sistemas.
Um porta-voz da Premier se recusou a divulgar ao Information Security Media Group o valor do resgate exigido pelos invasores, se a Premier pagou um resgate para desbloquear seus sistemas e o tipo de sistemas e dados afetados.
O porta-voz revelou, no entanto, que o ataque envolveu o Ryuk ransomware e que a prática utilizou registros em papel por um breve período, enquanto questões técnicas eram abordadas. Durante esse período, a Premier conseguiu continuar prestando atendimento aos pacientes sem interrupção, apesar de todos os seus locais terem sido afetados pelo ataque.
Ransomware ataca em abundância
Os ataques de ransomware a prestadores de serviços de saúde têm sido uma ameaça persistente há algum tempo, mas ocorreram este ano (consulte: Summer of Data Breach Discontent).
Por exemplo, em julho, um centro médico porto-riquenho e um hospital relacionado a mulheres e crianças apresentaram denúncias ao HHS sobre ataques de ransomware que impactaram coletivamente os dados de mais de 522.000 pessoas (veja: O ataque por ransomware afeta 522.000 pacientes em Porto Rico).
Esses ataques ao Centro Médico Bayamón e ao Hospital de Mulheres e Crianças de Porto Rico foram relatados separadamente em 19 de julho como incidentes de hackers / TI envolvendo um servidor de rede, de acordo com o site da HHS HIPAA Breach Reporting Tool. Também chamado de “muro da vergonha”, o site lista relatórios de importantes violações de dados de saúde que afetam 500 ou mais pessoas.
Entre outros ataques de ransomware no setor de saúde até agora este ano, houve um incidente relatado em abril por um Doctors Management Services, um provedor de serviços de cobrança com sede em Massachusetts. O ataque a esse parceiro de negócios impactou mais de três dezenas de clientes e quase 207.000 indivíduos.
E em junho, um incidente com ransomware afetou 88.000 pacientes do Grays Harbor, Hospital Comunitário de Grays Harbor, com sede em Washington, e seu grupo médico. Os invasores exigiram um resgate de US $ 1 milhão, mas a entidade de saúde não pagou.
Agindo
Para se preparar para ataques de ransomware, as organizações podem tomar medidas para controlar a interrupção e minimizar o número de pacientes cujos dados estão potencialmente expostos.
“O que fazer não é ciência de foguetes e não é novidade neste momento”, diz Finn. Você deve estar pronto: isso significa [implementar] todos os aspectos da estrutura de cibersegurança do Instituto Nacional de Padrões e Tecnologia “.
As principais etapas incluem saber onde todos os dados estão localizados, ter ferramentas para detectar atividades anômalas e treinar a força de trabalho. “O phishing ainda é o vetor principal para a disseminação de ransomware … aplique as proteções corretas nesses ativos”, diz Finn.
As organizações também devem garantir que eles tenham backups atualizados disponíveis fora de sua rede, ele enfatiza. “Você deve ter um plano de resposta a incidentes e um que seja regularmente exercido e atualizado”, acrescenta ele.
Os riscos de pagar um resgate
Embora pagar um resgate possa parecer a saída mais rápida e fácil, ele pode não resultar na descriptografia de dados que foram criptografados pelos invasores, alerta ele.
“Pagar resgate – e posso imaginar situações em que um profissional de saúde gostaria de pagar – nunca é uma boa idéia por muitas razões”, diz ele. “Ele incentiva mais ataques de ransomware. E não há garantia de que o pagamento recuperará seus dados. Também vimos organizações pagarem o resgate solicitado e, assim que são pagos, o resgate aumenta”.
Max Henderson, analista de segurança sênior e líder de resposta a incidentes da empresa de consultoria de segurança Pondurance, oferece uma perspectiva semelhante. “O pagamento do resgate motiva ainda mais os adversários a continuarem seus ataques e também outros grupos de ameaças a alterar suas cargas para uma abordagem de ransomware”.
O ponto de entrada mais comum do ransomware em violações recentes foram os anexos de email, observa Henderson. Para mitigar o risco, ele recomenda “aprimorar as opções de filtragem de e-mail disponíveis, implementando uma plataforma de detecção e resposta de terminal de última geração e garantindo que a segmentação e o controle de acesso adequados sejam gerenciados no ambiente”.
Os criminosos são pacientes
Henderson observa que as organizações cibercriminosas que implantam ransomware se tornaram cada vez mais pacientes com suas abordagens.
“Em investigações recentes, vimos o acesso não autorizado acontecer por mais de um mês antes da implantação do ransomware”, diz ele. “A causa subjacente aparente disso é que esses atores estão mapeando cuidadosa e metodicamente a rede para identificar servidores críticos. Como resultado, os atores estão se tornando cada vez mais bem-sucedidos na maximização do impacto, incluindo a identificação e remoção de arquivos de backup”.
Embora exista uma infinidade de autores de ransomware cujas cargas acabam como “um relâmpago”, diz Henderson, alguns grupos emergentes e organizados com cargas como BitPaymer, iEncrypt e Sodinokibi “estão se tornando uma ameaça crescente para o setor de saúde. grupos organizados continuam a receber pagamentos, motivando seus esforços contra organizações que provavelmente pagam, o que inclui o setor de saúde “.
FONTE: https://www.databreachtoday.com/ransomware-attack-on-utah-clinic-affects-320000-a-13078