0
0
Promotores alemães tentaram provar que um ataque de ransomware a um hospital foi o culpado por alguém perder a vida. A história deles é um aviso.
Na noite de 11 de setembro, paramédicos em Düsseldorf, alemanha, foram alertados sobre a deterioração da condição de uma mulher de 78 anos que sofria de um aneurismade ao mesmo tempo. O que começou como uma coleta de rotina tomou um rumo desagradável quando ligaram para o hospital universitário local para informar os funcionários de sua chegada iminente. Disseram-lhes que o acidente e o pronto-socorro estavam fechados, então não puderam aceitar o paciente.
Em vez disso, a ambulância foi encaminhada para o Hospital Universitário Helios, em Wuppertal, a 32 quilômetros de distância, o que atrasou o tratamento do paciente em uma hora. Ela morreu pouco depois.
A trágica sequência de eventos chamou a atenção dos oficiais de crimes cibernéticos. Um ataque de ransomware, onde hackers criptografam dados e depois exigem pagamento para desbloqueá-los, forçou o hospital a desligar a ambulância. O ataque comprometeu a infraestrutura digital que o hospital conta para coordenar médicos, leitos e tratamento, forçando o cancelamento de centenas de operações e outros procedimentos. Também limitou drasticamente a capacidade do hospital: enquanto normalmente atende mais de 1.000 pacientes por dia, ele poderia atender a não mais da metade disso durante e após o ataque. Parar novas internações era necessário para proteger aqueles que já estavam lá dentro.
Após o ataque, foi sugerido que esta pode ter sido a primeira instância de morte por ransomware. Promotores em Colônia se prepararam para perseguir os hackers, supondo que eles poderiam ser identificados, por homicídio negligente, o que significa o assassinato de outra pessoa por negligência ou sem malícia. Para serem bem sucedidos, eles precisariam estabelecer causalidade legal – essencialmente que o ataque, e a demora no tratamento que gerou, contribuíram suficientemente para a fatalidade.
Isso sempre seria uma batalha, diz Markus Hartmann, procurador-chefe do Ministério Público de Colônia. Após uma investigação de dois meses, a equipe de Hartmann concluiu que não havia motivos suficientes para prosseguir com o assunto. O ransomware estava envolvido no caso, mas a lei significa que não é possível culpar os hackers pela morte.
O ataque de ransomware foi visto pela primeira vez na madrugada de 10 de setembro, mas poderia ter começado muito antes. As redes internas do hospital são tão expansivas que os funcionários poderiam tê-los usado por dias sem notar um arquivo criptografado. O ransomware foi introduzido na rede do Hospital Universitário Düsseldorf através de uma vulnerabilidade bem conhecida em um aplicativo Citrix. O hospital insiste que corrigiu a vulnerabilidade em janeiro, dia da liberação do patch, mas é possível que o carregador do ransomware tenha sido instalado em dezembro, quando a notícia da vulnerabilidade veio à tona.
Relatos locais sugerem que este ataque foi mal direcionado, em grande parte porque a nota de resgate dos hackers nos servidores do hospital foi direcionada para a Universidade Heinrich Heine afiliada em vez do hospital. Os hackers, talvez em reconhecimento ao seu erro, até apresentaram a chave de criptografia à polícia quando foram informados de que teriam chegado ao hospital, mas isso possivelmente faz parte de um “elaborado golpe de RP”, adverte Hartmann. “Pela nossa experiência, os hackers farão qualquer coisa por dinheiro, e pode ser que a atenção pública de hackear um hospital e a intensa investigação tenha sido um pouco demais para eles.”
Apesar dos esforços dos hackers para desfazer o ataque, o dano já estava feito. O processo de descriptografia que começou nas primeiras horas de 11 de setembro foi lento, o que significa que mesmo em 20 de setembro nenhum dado poderia ser alimentado ou recuperado de sistemas de TI hospitalares. Nem mesmo a comunicação por e-mail estava funcionando. Isso se deve ao grande volume de dados impactados: 30 servidores foram corrompidos. A infiltração também exigiu que os funcionários do hospital realizassem um exame abrangente de segurança para proteger contra futuros ataques, e algumas dessas redes ainda estão sendo reforçadas.
Do ponto de vista médico, é possível que o ataque de ransomware tenha realmente contribuido para a morte da vítima, mesmo que minimamente ou trivialmente, mas isso não é suficiente para estabelecer causalidade legal necessária para processar por homicídio culposo. O padrão de prova na Alemanha exigiria que os promotores mostrassem que o ataque teve um “papel decisivo” na morte, diz Lisa Urban, pesquisadora de doutorado do departamento de direito da Universidade de Luxemburgo.
Isso é determinado usando o equivalente ao teste “mas para” do Reino Unido, ou seja, mas para o hack, a vítima não teria morrido naquela manhã. A acusação também seria contestada para atribuir legalmente a morte ao agressor. Isso “não é impensável”, diz Urban, mas em casos médicos como este, onde a vítima sofre de uma doença que ameaça a vida, nem sempre é simples estabelecer fundamentos legais.
Após uma investigação detalhada envolvendo consultas com profissionais médicos, uma autópsia e um detalhamento minuto a minuto dos eventos, Hartmann acredita que a gravidade do diagnóstico médico da vítima no momento em que ela foi pega era tal que ela teria morrido independentemente de qual hospital ela tinha sido internada. “O atraso não foi relevante para o resultado final”, diz Hartmann. “A condição médica foi a única causa da morte, e isso é totalmente independente do ataque cibernético.” Ele compara-o a bater em um cadáver enquanto dirige: enquanto você pode estar quebrando o limite de velocidade, você não é responsável pela morte.
Tudo isso deixa Hartmann para perseguir os hackers através das acusações mais tradicionais de chantagem e hacking, embora ele enfrente uma batalha para identificá-los e ainda mais para acusá-los, dado que muitas dessas roupas estão sediadas na Rússia, onde as autoridades historicamente protegeram hackers da extradição. Doppelpaymer, a escolha do atacante de ransomware, tem links para grupos russos.
Mas é apenas uma questão de tempo, acredita Hartmann, antes que o ransomware cause diretamente uma morte. “Quando o paciente sofre de uma condição um pouco menos grave, o ataque certamente pode ser um fator decisivo”, diz ele. “Isso ocorre porque a incapacidade de receber tratamento pode ter sérias implicações para aqueles que necessitam de serviços de emergência.” O sucesso em trazer uma acusação pode abrir um precedente importante para casos futuros, aprofundando assim o kit de ferramentas dos promotores além dos estatutos típicos de crimes cibernéticos.
“O principal obstáculo será uma prova”, diz Urban. “Causalidade legal estará lá assim que a acusação puder provar que a pessoa morreu mais cedo, mesmo que sejam apenas algumas horas, por causa do hack, mas isso nunca é fácil de provar.” Com o ataque de Düsseldorf, não foi possível estabelecer que a vítima poderia ter sobrevivido por muito mais tempo, mas em geral é “absolutamente possível” que hackers possam ser considerados culpados de homicídio culposo, argumenta Urban.
E onde a causalidade é estabelecida, Hartmann ressalta que a exposição a processos criminais vai além dos hackers. Em vez disso, qualquer um que possa ser mostrado ter contribuído para o hack também pode ser processado, diz ele. No caso de Düsseldorf, por exemplo, sua equipe se preparava para considerar a culpabilidade da equipe de TI do hospital. Poderiam ter defendido melhor o hospital monitorando a rede mais de perto, por exemplo?
O que aprofunda a preocupação é a crescente ameaça de ataques cibernéticos nos hospitais. Mais de 750 prestadores de serviços de saúde nos Estados Unidos foram alvo de ransomware no ano passado. Uma série de incidentes, agravados durante a pandemia,trouxe esses ataques em foco acentuado.
A Interpol emitiu um aviso em abril, antes que as autoridades federais alertassem para uma ameaça “crescente e iminente” de crimes cibernéticos a hospitais e prestadores de serviços de saúde depois de vários em toda a América do Norte. E quando você está aproveitando vidas para extorquir dinheiro, é lógico que algumas serão perdidas, ainda mais quando as agências de aplicação da lei encorajam alvos a não pagar resgates.
“Por causa dos ataques nos Estados Unidos, um hospital teve que desarmar 300 funcionários e outro não conseguiu administrar tratamentos de câncer de controlador de computador, por isso é absolutamente inevitável que esses incidentes tenham um impacto no atendimento ao paciente”, diz Brett Callow, analista de ameaças e especialista em ransomware da empresa de segurança Emsisoft. “E nos casos em que os hospitais são incapazes de aceitar pacientes de emergência, os riscos de morte aumentam significativamente.”
Embora os hackers nunca possam ser levados à justiça, o ataque em Düsseldorf serve como um aviso das consequências do mundo real quando os criminosos visam sistemas críticos. “Uma coisa é atacar o computador privado de uma pessoa em casa, mas algo totalmente diferente para atacar a infraestrutura hospitalar”, diz Hartmann. “Este é um sinal de alerta para aqueles que executam infraestrutura crítica de que qualquer falha em proteger sua infraestrutura pode resultar em resultados fatais. E também para qualquer pessoa na cena hacker que você não pode simplesmente esperar espalhar seu ransomware sem consequências além de danos financeiros.”
FONTE: WIRED