Ataque de ransomware a hospitais do NHS
Ransomwares ganharam as manchetes dos jornais em 2017 quando o WannaCry, um dos maiores ataques cibernéticos já realizados, atingiu grandes organizações ao redor do mundo. Uma das vítimas mais famosas foi o serviço de saúde pública do Reino Unido, conhecido como NHS. Neste artigo, analisamos como o ataque aconteceu, suas consequências e as lições aprendidas para mitigar o risco de ransomwares em sua empresa.
Quando o ataque ao NHS aconteceu?
No dia 12 de maio de 2017, o NHS do Reino Unido foi atingido por um ransomware conhecido como WannaCry (algo como “quero chorar”). Este ataque massivo prejudicou o funcionamento de hospitais, pois causou a queda de sistemas críticos para a operação das unidades de saúde. Milhares de cirurgias foram canceladas e médicos não puderam acessar os registros de seus pacientes ou fazer simples ligações telefônicas.
O NHS estima que cerca de um terço das 236 unidades filiadas à rede na Inglaterra foram afetadas. Isso gerou preocupações com a privacidade e a saúde dos pacientes e funcionários do sistema que foram vítimas de violações de dados.
O que é o WannaCry?
Em maio de 2017, o WannaCry se tornou o ransomware mais notório do mundo, atingindo aproximadamente 230 mil computadores ao redor do globo em um único dia. O ataque foi isolado rapidamente, mas suas variações continuam em atividade até hoje.
Como worm (verme de computador), o bloqueio do WannaCry é difícil, pois ele pode infectar dispositivos e se mover automaticamente em uma rede, colocando um grande número de dispositivos em risco a partir de uma única infecção. O WannaCry é apenas uma das muitas formas conhecidas de ransomware. Outras incluem o Sodinokibi e o Ryuk.
O que é o EternalBlue?
O exploit costuma explorar uma vulnerabilidade do sistema Windows conhecida como EternalBlue. E mesmo que seu uso seja para fins maliciosos, ele não foi desenvolvido por cibercriminosos. Muito pelo contrário, o malware foi criado pela Agência de Segurança Nacional dos EUA (NSA). Infelizmente o Eternalblue foi roubado por um grupo de cibercriminosos conhecido como The Shadow Brokers e foi usado para criar o WannaCry. Rapidamente a Microsoft criou uma correção para o malware, mas, desde então, todo PC Windows não atualizado continua vulnerável.
O Eternalblue explora o antigo protocolo de comunicação de rede da Microsoft chamado SMBv1. Ele simplesmente envia um pacote malicioso ao servidor, que passa a espalhar o seu código malicioso rapidamente pela rede, criando grandes ameaças de segurança em instantes.
Outros tipos de ransomwares que seguem uma abordagem semelhante são o Petya (também baseado no Eternalblue), o Cerber e o Locky.
O que aconteceu no ataque ao NHS?
Os ataques do WannaCry não foram direcionados a uma organização específica. Esses foram ataques especulativos, que buscavam uma oportunidade de infectar redes com brechas de segurança específicas.
Mesmo que o WannaCry não tenha empreendido um ataque direto ao NHS, o fraco esquema de segurança e sistemas desatualizados da rede facilitaram a execução do malware. Havia muitos computadores com versões desatualizadas do Windows 7 em funcionamento nos hospitais do Reino Unido. Assim, ao mesmo tempo que o ransomware se espalhava rapidamente ao redor do mundo, uma grande parte da rede ligada ao NHS estava vulnerável.
Além de infectar redes locais, o WannaCry conseguiu se espalhar para redes N3, que conectam todos os endereços do NHS. Mas o ataque não conseguiu se espalhar pelo sistema de e-mail da entidade, impedindo que ainda mais dados fossem sequestrados ou utilizados em golpes phishing.
Qual foi a resposta do NHS ao ataque?
A entidade pagou o resgate para os disseminadores do WannaCry?
O NHS e a agência de combate ao crime do Reino Unido alegam que nenhum resgate foi pago. Já o departamento de Saúde daquele país alega não ter conseguido avaliar os prejuízos ao sistema de saúde público, que alguns estimam que tenha ficado em torno de 92 milhões de libras (aproximadamente R$ 580 milhões).
O ataque cibernético foi bloqueado por Marcus Huitchins, pesquisador da área de cibersegurança. Ele identificou um domínio não registrado utilizado pelo ransomware para verificações automáticas programadas. Com o registro do domínio, foi possível criar um kill switch, espécie de mecanismo de desativação do malware. O Centro de Cibersegurança Nacional do Reino Unido passou os dias seguintes lutando contra tentativas de tirar o domínio da rede até que um método de descriptografia fosse descoberto.
Quais foram as consequências do ataque ao NHS?
Pelo menos 80 dos 236 hospitais filiados ao NHS foram afetados pelo vírus. Além deles, 603 postos de atendimento e outras organizações ligadas ao NHS e 595 consultórios de clínicos gerais também sofreram estragos com a ação.
O ataque cibernético foi bloqueado por Marcus Huitchins, pesquisador da área de cibersegurança. Ele identificou um domínio não registrado utilizado pelo ransomware para verificações automáticas programadas. Com o registro do domínio, foi possível criar um kill switch, espécie de mecanismo de desativação do malware. O Centro de Cibersegurança Nacional do Reino Unido passou os dias seguintes lutando contra tentativas de tirar o domínio da rede até que um método de descriptografia fosse descoberto.
Outros exemplos de ataques de ransomware em grandes hospitais
O ransomware que atingiu o NHS não foi o único incidente famoso por envolver unidades médicas. Em julho de 2019, o Springhill Medical Center, no Alabama (EUA), foi atacado por um ransomware, resultando na queda da rede ligada a sistemas de monitoramento de enfermagem. Entre outras consequências, Teiranni Kidd, uma das mães internadas no hospital, processou a entidade por seu filho ter nascido com problemas cerebrais, causando a sua morte em decorrência do ataque. O incidente provocou mudanças na forma de monitoramento da unidade. Essa foi a primeira vítima fatal de um ransomware.
Outro ataque de ransomware com consequências brutais se deu em setembro de 2020, na unidade do United Health Services. O departamento de TI do hospital foi derrubado pelo ransomware Ryuk, resultando no cancelamento de consultas, transferência de pacientes para outras unidades de saúde e dependência de registros em papel para dar continuidade às atividades. A recuperação do incidente demorou cerca de um mês e custou quase US$ 67 milhões.
Infelizmente os ataques de ransomware a hospitais está em alta. Um estudo revela que 45 milhões de pessoas foram afetadas por ataques a sistemas de saúde em 2021, uma alta de 34 milhões em comparação a 2020. Outra pesquisa revela que 81% das organizações de saúde do Reino Unido foram vítimas de ataques de ransomware em 2021.
O que donos de empresas podem aprender com esses ataques?
O departamento de Saúde do Reino Unido fez alertas sobre os riscos de ataques cibernéticos ao NHS um ano antes do WannaCry surgir, e mesmo com um trabalho de prevenção sendo feito, já era tarde demais. Na época, o departamento foi criticado por permitir o uso de sistemas Windows antigos, como a versão XP, que parou de receber suporte da Microsoft em 2014.
A principal lição desse ataque foi a importância de se priorizar as melhores práticas em cibersegurança e de se implementar um gerenciamento de correções na organização. Mesmo que isso seja difícil em ambiente de alta demanda, essas práticas são essenciais para que seja possível corrigir vulnerabilidades exploráveis por cibercriminosos durante uma tentativa de invasão de redes e servidores corporativos.
Juntamente com isso, é preciso seguir as melhores práticas em cibersegurança, como:
- Criação de um Plano de Recuperação de Desastres
- Implementação de ferramentas de proteção contra ransomwares
- Treinamento de funcionários para que evitem ataques phishing/engenharia social
- Criação de backups de segurança para a recuperação de documentos sensíveis
A combinação desses elementos reduz o risco de um ataque, ajudando a minimizar o tempo de inatividade e recuperação. Caso a sua empresa sofra um ataque, saiba que muitas agências governamentais e de segurança criaram ferramentas de descriptografia que ajudam a recuperar dados bloqueados por determinados tipos de ransomwares.
Para saber mais sobre grandes ataques de ransomwares, confira os estudos de caso dos ataques das cidades de Atlanta e de Baltimore.
Deixe que a Avast proteja a sua empresa contra ransomwares.
A implementação de backups e medidas de segurança eficazes são essenciais na proteção da sua empresa contra ransomwares. As soluções de cibersegurança para pequenas empresas da Avast permite que você escolha o nível de proteção que melhor se encaixa às necessidades e ao tamanho da sua empresa, ajudando você a proteger seus dispositivos contra ransomwares e outros tipos de ataques cibernéticos.