Os hospitais são uma das infraestruturas mais importantes, ainda mais nesse momento, com a emergência de saúde global causada pelo COVID-19. Neste momento, é imperativo que os hospitais funcionem da melhor maneira possível, sem contratempos.

Este setor está atualmente no meio de uma revolução tecnológica e todas as informações são armazenadas digitalmente, algo que pode beneficiar muito os pacientes. Todas essas informações também estão disponíveis on-line para que, caso o paciente mude de médico, o histórico médico do paciente seja facilmente acessível. Ã‰ esse mesmo aprimoramento tecnológico que também criou um sério problema de segurança para o setor de saúde. As informações médicas são altamente valiosas; portanto, se um cibercriminoso conseguir colocar as mãos nelas, poderá obter um grande lucro.

Atualmente, os hospitais são alvos muito populares para o cibercrime. Isso, entre outras razões, deve-se à quantidade de dados pessoais que eles manipulam, bem como a seus sistemas de TI, que costumam estar desatualizados. Alguns grupos de cibercriminosos disseram que não atacarão hospitais durante a atual pandemia, mas há certos grupos que ignoraram essa iniciativa. Um exemplo disso foi visto na República Tcheca, onde, em meados de março, um ciberataque paralisou um hospital universitário que estava realizando testes e pesquisas para mitigar a disseminação do coronavírus.

Espanha: destaque para infecções e o ransomware Netwalker

A Espanha é um dos países mais afetados pela pandemia, e seus hospitais estão trabalhando sem parar para tratar pacientes. Mas agora os hospitais espanhóis têm outra preocupação urgente: o ransomware.

As agências nacionais de segurança cibernética detectaram uma tentativa de bloquear os sistemas de TI dos hospitais espanhóis enviando e-mails maliciosos para a equipe de saúde. Esses e-mails contêm um anexo que supostamente contém informações sobre o coronavírus em um arquivo chamado “CORONAVIRUS_COVID-19.vbs”.

Embutido neste arquivo está um código executável e ofuscado do ransomware Netwalker para extrair e iniciar esse ransomware no computador da vítima. Uma vez executado, o Netwalker criptografa os arquivos no computador e adiciona uma extensão aleatória aos arquivos criptografados.

Quando esse processo é concluído, o ransomware deixa uma nota de resgate chamada [extension] -Readme.txt. A nota contém instruções sobre como recuperar os arquivos criptografados.

Esvaziamento do processo: uma técnica de evasão

O Netwalker ataca os sistemas Windows 10 e é capaz de desativar o software antivírus. No entanto, para evitar disparar alarmes, ele não desativa os sistemas de segurança EPP. Ele injeta código malicioso diretamente no Windows Explorer.

Para evitar a detecção, o Netwalker também usa uma técnica chamada processo hollowing. Esse processo envolve o mapeamento da memória dos processos em estado suspenso e a substituição por código malicioso. Essas técnicas permitem contornar soluções de segurança cibernética que usam listas de permissões e assinaturas para detectar malware.

Como proteger hospitais

No momento, é mais importante do que nunca manter os hospitais seguros. Para garantir que eles estejam protegidos, é vital que todos façam um esforço para impedir que o ransomware chegue aos sistemas de TI no setor de saúde.

O primeiro passo, que deve ser uma parte fundamental de qualquer plano de segurança cibernética, é ser extremamente cuidadoso com os e-mails. O e-mail é um dos principais vetores de entrada para malware que existe em todas as empresas. Para protegê-lo, é imperativo que nunca abramos anexos de remetentes desconhecidos. Também é vital nunca clicar em links de e-mails de estranhos, pois eles também podem facilitar a instalação de malware.

Outra medida essencial são as soluções avançadas de segurança cibernética. O Panda Adaptive Defense é capaz de monitorar todas as atividades em todos os terminais da rede. Ele não usa assinaturas para detectar malware. Em vez disso, qualquer processo desconhecido é interrompido antes que possa ser executado, analisado e só pode ser executado se for classificado como legítimo. Essa postura de confiança zero garante a segurança do seu sistema de TI.