Por que hackers querem tanto dados de empresas de saúde?

Duas grandes empresas de saúde do país anunciaram nesta semana, que sofreram ciberataques em seus sistemas de tecnologia: a operadora de planos de saúde Hapvida e o Hospital Sírio-Libanês. Enquanto a operadora afirmou que o ataque obteve acesso a dados cadastrais como CPF, nome completo e endereço de alguns clientes, o hospital disse que os sistemas de segurança protegeram as informações.

Conhecido nacionalmente por tratar da saúde de políticos e personalidades brasileiras, o Hospital Sírio-Libanês disse que o ataque ocorreu na madrugada de segunda-feira (6). Tanto o site quanto o aplicativo da instituição ficaram fora do ar por horas após o ataque.

Relacionadas

Apague já do celular: estes 25 apps roubavam seus dados do Facebook

Perigo ou farsa? Veja o que sabemos sobre o caso do Homem-Pateta no Brasil

Receba notícias de Tilt em seu WhatsApp

Já a Hapvida afirmou ter sido vítima de um "incidente de violação cibernética" envolvendo o acesso às informações cadastrais de seus clientes. Além disso, informou que, após uma avaliação preliminar, concluiu que os invasores não acessaram os registros médicos ou informações financeiras de seus clientes.

No começo de abril, a organização internacional de polícia Interpol disse que detectou um aumento significativo no número de tentativas de ataques de ransomware [sequestro de dados] contra hospitais e serviços médicos. Seria então os casos desta semana algum tipo de estratégia coordenada contra empresas e instituições de saúde no Brasil?

Dados atuais, uma mina de ouro

Segundo Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), os hospitais são o segundo alvo mais atacado pelos cibercriminosos, atrás apenas dos bancos. O motivo, segundo ele, é que os hospitais têm o banco de dados dos pacientes sempre atualizados.

O especialista aponta que não existe um movimento específico de ataques aos hospitais. Mas, com o grande fluxo de pacientes e novas informações chegando por conta da pandemia, o sistema expõe suas fragilidades.

"Atacar um hospital é muito vantajoso porque os dados ali são precisos. Precisam estar corretos porque vidas podem se perder, o dano é muito grande. Um hospital precisa ter os dados de saúde, os remédios que toma, os dados de pagamento. Esse é o ponto principal", explica.

Para Kin, na crise de covid os hospitais têm mais dificuldades em segurança e infraestrutura de tecnologia como um todo. Isso acaba facilitando o trabalho de criminosos cibernéticos, que atacam hospitais ou outras empresas de forma massiva. "E aí o sistema, que está mais vulnerável, cai nessa armadilha", completa.

O ataque massivo é quando hackers colocam vários computadores acessando uma lista de endereços IP [protocolos de internet, um tipo de endereço de internet numérico] das empresas. Quando veem configurações de segurança com brechas, que estão ultrapassados, disparam muitos acessos simultâneos e conseguem invadir. Esse é o tipo mais comum de ciberataque atualmente e chega a 98% das ocorrências, segundo estimativa da Abraseci.

Chantagem online

Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil, concorda que não existe um movimento de ataque direcionado às empresas de saúde, mas sim, a grandes empresas com um farto banco de dados. E, segundo ele, o objetivo dos hackers é "chantagear" as empresas após conseguirem os dados.

Para o analista, algumas empresas já se prepararam para ataques como ransomwares, ao preparar com antecedência um sistema de backup das informações que possivelmente podem ser hackeadas.

Como não conseguem restringir o acesso aos dados, os hackers dão duas opções após o ataque, o que Fabio chama de ataque Double Ransom: os arquivos da empresa serão cifrados (com dados embaralhados), se quiser ter o acesso novamente, terá que pagar; ou eles roubam a maioria dos dados corporativos e, se a empresa não pagar, eles dizem que tornarão públicos. "Isso é péssimo para a reputação das empresas", afirma.

Ataque ou falha?

O grupo de pesquisadores de segurança independentes Brazil Safe enviou comunicado a Tilt com uma versão diferente do caso da Hapvida: que o problema se tratava de uma "vulnerabilidade de severidade máxima" no site da empresa. De acordo com um vídeo-ddemonstração do grupo, a suposta falha no portal da Hapvida permitia que qualquer usuário com conta no site acessasse dados dos cerca de 6 milhões de clientes da operadora.

Para reproduzir a falha, após o login no site da Hapvida o usuário deveria acessar o serviço de consulta de boletos. Em seguida, era necessário navegar até a tela "Seleção de Contrato(s)" e ativar o modo "Inspecionar" do navegador de internet. Com os códigos abertos no lado direito da tela, o cliente conseguia visualizar o elemento "input" e modificar o número dos contratos. Assim, seria possível visualizar boletos com dados pessoais de outros clientes.

Apesar de parecer difícil acertar o número de um contrato alheio, o Brazil Safe afirma que um agente criminoso, "usando robôs e multisservidores atacando essa brecha, consegue obter toda a base de clientes em poucos dias".

De acordo com Emílio Simoni, diretor do laboratório de segurança digital Dfndr Lab, é possível que a falha tenha ocorrido. Mas, ele destaca que não seria tão simples obter os dados de inúmeros clientes por conta das proteções dos sites.

"Existe firewall [um tipo de muro virtual contra invasões], que consegue rastrear essa tentativa de força bruta. Na prática, é impossível saber se dava para baixar milhões de dados, já que, quando a força-tarefa roda em massa, esse firewall bloqueia o sistema. Mas, não deixa de ser uma falha", diz.

O grupo de desenvolvedores Brazil Safe afirma que tentou contato com a Hapvida por meio do canal de denúncias e por email desde o dia 18 de junho para informar o problema, mas que não obteve resposta da empresa.

Questionada por Tilt, a Hapvida disse que "investe constantemente na segurança do seu sistema e na proteção dos dados dos seus beneficiários. Diante da denúncia, o grupo está investigando e avaliando a veracidade do caso".

As consequências

Um dos possíveis problemas de vazamentos desse tipo é que, com os dados em mãos, cibercriminosos podem gerar boletos falsos de cobranças. Por isso, é necessário que os clientes da operadora fiquem atentos à correspondência, principalmente boletos de pagamentos.

"Quando você vai pagar um boleto, o banco vai exibir vários detalhes. Fique atento se o banco do boleto é aquele que você está acostumado, se o valor é nos mesmos moldes, enfim, se as informações batem. Qualquer dúvida, ligue para a empresa e confirme o número do boleto com eles", orienta.

Em sua conta oficial no Twitter, a própria operadora, no dia 30 de junho, diz que "não trabalha com intermediadores" para tratar de débitos em aberto. "Se você é nosso cliente e estiver com contas em aberto, procure diretamente o Hapvida, por meio dos nossos canais oficiais", diz a postagem.

Além disso, é possível que os cibrecriminosos tentem outros golpes, como a clonagem do WhatsApp. O usuário pode receber uma ligação de alguém se passando pela operadora ou por um banco e pedir a confirmação de dados. Em seguida, vai falar que mandará um código de segurança para confirmação, que na realidade será utilizado para sequestrar a sua conta do mensageiro.

"Temos uma grande ramificação de ataques possíveis quando essas pessoas de má-fé possuem os dados de usuários, ainda mais quando se considera a criatividade do cibercriminoso brasileiro", finaliza Simoni.