Ransomware Royal tem instituições de saúde como principal alvo 

Um novo ransomware está ameaçando o segmento de saúde. Chamado Royal, a praga virtual foi observada pela primeira vez em setembro de 2022 e já exigiu resgates na casa dos milhões de dólares, segundo alerta do Departamento de Saúde e Serviços Humanos (HHS) dos Estados Unidos. Por enquanto, os ataques têm se concentrado em organizações do ramo da saúde norte-americanas.

A operação do ransomware Royal parece reunir agentes experientes provenientes de outros grupos. Embora a maioria dos operadores conhecidos de ransomware use o esquema Ransomware-as-a-Service, o Royal tem características de um grupo privado sem afiliados, cuja motivação é financeira. O grupo afirma roubar dados para ataques de dupla extorsão, ou seja, além de cobrar resgate, também ameaça vazar dados confidenciais.

Depois de invadir as redes das vítimas, realizam atividades comumente vistas em outras operações, como implantação de ferramentas para remotamente acessar e gerenciar sistemas infectados, coleta de credenciais, movimentação lateral e, obviamente, criptografia de arquivos.

As notas de resgate aparecem em um arquivo README.TXT, que também contém um link para a página de negociação.

O ransomware Royal tem sido disseminado por vários agentes, mas um relatório da Microsoft destaca destacou a atividade recente de um grupo específico que a empresa rastreia como DEV-0569. Os ataques do DEV-0569 mostram um padrão de inovação contínua, com incorporação regular de novas técnicas de descoberta, evasão de defesa e várias cargas de trabalho pós-invasão. O DEV-0569 usa principalmente “malvertising” e links de phishing que apontam para um downloader de malware que se apresenta como um legítimo instalador de software ou atualizações em e-mails de spam, páginas de fórum falsas e comentários de blog. Nos últimos meses, também foram observados ajustes nesses métodos, incluindo uso de formulários de contato, hospedagem de arquivos em sites de download falsos e expansão do “malvertising”, usando Google Ads.

Outros ataques que têm ameaçado as empresas de saúde recentemente vieram dos ransomware Venus, Maui e Daixi Team.

Além da questão financeira, a ação de agentes de ransomware a instituições de saúde tem comprometido procedimentos e tratamentos. Um exemplo recente disso foi visto na França, onde um hospital foi obrigado a transferir pacientes depois de uma invasão de cibercriminosos.

O hospital-escola André-Mignot, nos subúrbios de Paris, teve de desligar telefones e computadores por causa de um ataque de ransomware. Foi preciso cancelar parcialmente as operações e transferir seis pacientes das unidades neonatais e de terapia intensiva para outras organizações de saúde. De acordo com a instituição, os invasores exigiram resgate.

A recomendação da HHS e também de outras entidades como FBI e CISA (Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos) é não pagar resgates, em parte porque tal pagamento não garante a recuperação dos arquivos roubados, nem que eles não serão vazados posteriormente. Além disso, o pagamento de resgates pode encorajar a ação de mais cibercriminosos e o financiamento de atividades ilícitas. Para organizações e indivíduos que forem vítimas de ransomware, o FBI mantém uma página por meio da qual é possível enviar amostras de atividades de ransomware.

Estado de saúde da cibersegurança

Quando pensamos no estado de saúde da cibersegurança mundial, arriscamos dizer que é crítico, precisando de cuidados especiais. E quando restringimos essa pergunta especificamente às empresas da área médica, parece que o quadro é ainda pior.

Um estudo recente da Sophos, realizado no início de 2022, revelou uma taxa crescente de ataques de ransomware ao setor de saúde, apresentando um ambiente de ameaças cada vez mais complexo. Essas invasões quase dobraram – 66% das organizações de saúde pesquisadas foram atingidas por ransomware em 2021, contra 34% em 2020. O cenário também parece mais difícil de lidar, visto que foram registrados um aumento no volume (69%) e na complexidade (67%) percebidos e o segundo maior aumento nos impactos (59%) dos ataques cibernéticos.

Além disso, a área de saúde é mais propensa a pagar resgates para recuperar os dados criptografados, ocupando o primeiro lugar no estudo, com 61% das respostas, em comparação com a média global de 46%. Essa parcela é quase o dobro em relação aos 34% que pagaram resgate em 2020.

As empresas de saúde que pagaram resgate recuperaram apenas 65% dos dados em 2021, abaixo da marca de 69% reportada em 2020. Além disso, apenas 2% daqueles que pagaram resgate em 2021 recuperaram todos os dados, abaixo dos 8% em 2020.

Longos períodos para se recuperar dos ataques de ransomware também atingiram o setor de saúde – 44% das organizações que sofreram um ataque em 2021 levaram até uma semana para se recuperar, enquanto 25% levaram até um mês.