Bastidores da Missão Crítica: o caso do hospital hackeado internamente
Foram necessários três meses para recuperar o sistema de um grande hospital do triângulo mineiro, infectado por um ransomware originário na própria instituição. Um colaborador da Flowti que participou do processo conta como aconteceu a “saga”
O primeiro ataque de que eu cuidei pela Flowti se deu em um grande hospital do triângulo mineiro. Quando começou a pandemia, passamos a trabalhar em home office e, logo em seguida, recebemos um chamado deste hospital, dizendo que havia acontecido algo estranho. Pedi a foto da tela para saber o que era e havia uma mensagem dizendo que o sistema tinha sido criptografado. Quando vi, pedi para o funcionário descer correndo e desligar todos os servidores. Na chave geral mesmo! A pessoa da TI correu para o data center e desligou tudo imediatamente.
Com o data center isolado, iniciamos a verificação do “estrago”. Ali, tínhamos um ambiente grande, com aproximadamente 180 servidores Windows e 600 estações de trabalho. E quase todos os servidores foram afetados, com exceção dos que eram Linux.
Fomos bem a fundo na investigação e conseguimos pegar o responsável. Foi uma semana trabalhando direto, virando noites sem dormir. Descobrimos que o ataque veio de dentro do hospital mesmo. Uma pessoa insatisfeita com a instituição, contou com a ajuda de um criminoso cibernético para plantar o ransomware via e-mail de Phishing. Quando ele atacou a rede, bloqueamos tudo e ele não conseguiu sair de lá. Então, continuou atacando até a hora que nós descobrimos qual era a máquina que ele estava usando. Assim, chegou-se ao responsável. A polícia, é claro, foi envolvida, houve uma investigação forense com o acompanhamento da alta direção da instituição.
“Para o hospital voltar à sua funcionalidade normal e total, demorou três meses. Fazer backup e recuperar todas as máquinas leva um tempo, principalmente quando a estrutura da empresa é grande”
Caos e recuperação
Para o hospital voltar à sua funcionalidade normal e total, demorou três meses. Fazer backup e recuperar todas as máquinas leva um tempo, principalmente quando a estrutura da instituição é grande.
Fui eu que fiz o restore do backup, que era em Linux e estava íntegro, o que ajudou muito na recuperação. Naquela época, não havia ransomware capaz de infectar Linux – hoje tem. Então, voltamos para o dia anterior e achamos o artefato na rede.
Esse episódio resultou em um prejuízo estrondoso para a instituição, tanto por não conseguir atender os pacientes adequadamente como, também, porque foi preciso envolver muitas pessoas no processo de recuperação. O hospital conseguiu seguir prestando atendimento durante o tempo que ficou sem sistema, mas era tudo preenchido no bloquinho, faziam anotações, ligavam para o plano de saúde... Depois que o ataque acabou e conseguimos recuperar o sistema, foram três meses para registrar tudo o que estava no papel. Imagine o trabalho!
Por que esses ataques acontecem?
No caso desse hospital que acabei de contar, a pessoa estava insatisfeita com a instituição. E também, teve uma motivação financeira, já que ele, com a ajuda do criminoso cibernético, pediu resgate para descriptografar os arquivos. Mas nem sempre a motivação de um crime desses é a extorsão.
O que vejo é que o primeiro objetivo é suprir o ego do criminoso. Ele não vem sozinho. Em geral, é um grupo que quer subir na hierarquia dos crimes cibernéticos por meio desses ataques. Ou, então, é alguém que chamamos de Script Kid, que é um “garoto” sem muita experiência, que baixa um ransomware na deep web e faz uma invasão em uma empresa seguindo a receita que vem junto com o download que ele comprou. Muitas vezes, acaba entrando em um grupo mais “especializado” e vai aprendendo maneiras mais avançadas de ataques cibernéticos. Esse tipo de crime, ainda, pode ser motivado por objetivos políticos, para “derrubar” um governante, por exemplo. É o que chamamos de hacktivismo. Mas isso é assunto para uma próxima história…
*Depoimento coletado de um colaborador da Flowti