Colaborador da Flowti, especialista em Cibersegurança, conta o que aconteceu no dia em que uma maternidade no Pará sofreu um ataque cibernético e não estava preparada o suficiente para se proteger.

Sexta-feira, 16h. A equipe de TI do pequeno hospital no Pará detectou o ataque cibernético, que começou com um simples e-mail enviado a um colaborador com um link suspeito. O funcionário, por falta de conhecimento sobre os riscos para a segurança digital da empresa, clicou no link, que desencadeou a invasão. Por sorte, o criminoso criptografou apenas algumas estações, porque quando começou o ataque, o pessoal da TI desligou as máquinas e passou a verificar a rede. Resultado: mais quatro máquinas estavam infectadas e foram imediatamente retiradas da rede. Foi aí que entraram em contato com a gente.  

Quando entrei na sexta-feira para inspecionar, pedi para desligarem tudo. Eram 15 servidores, sendo que oito eram Windows e o resto, Linux. Com o Linux a gente não se preocupa tanto, porque quase não é infectado. Vimos que foram criptografados arquivos de scanner que, por sorte, não estavam nos servidores, iam direto para a estação dos colaboradores. Se estivessem nos servidores, isso atingiria toda a rede.  

À noite, enquanto eles formatavam tudo, com as estações desligadas, eu verifiquei os servidores e constatei que estavam todos vulneráveis. Por isso, iniciei a aplicação do Windows Update. O ransomware ataca as vulnerabilidades do Windows, principalmente no compartilhamento de arquivos. 

No sábado, atualizei os servidores e vi que havia várias estações sem antivírus, então, tive de instalar em cada uma. No domingo, consegui acessar o Firewall na nuvem e pude finalmente identificar a estação que tinha sido infectada primeiro. Quando o colaborador recebeu o e-mail do criminoso, os funcionários de TI não deram a atenção necessária. Não por mal, mas por falta de conhecimento sobre o ransomware. Já tinham ouvido falar, mas acreditavam que nunca seriam atacados. Mas com ransomware é o seguinte: você vai ser atacado, só não sabe quando.  

Poderia ter sido evitado 

O crime foi relativamente simples, só que o ataque foi direcionado. O criminoso fez uma engenharia social. De posse das informações do usuário, conseguiu entrar nas redes sociais dele, viu onde trabalha, o que faz. Mandou o e-mail e o usuário, sem saber, acabou caindo na armadilha. Foi um phishing focado, não foi aleatório.  

Quando peguei o artefato, ou seja, o arquivo anexo, vi que o antivírus do hospital conseguiria bloquear facilmente. Isso significa que, se eles estivessem com todas as estações protegidas com antivírus, não teria acontecido nada. Mas entendo a dificuldade, porque a equipe de TI é pequena. Infelizmente, isso acontece muito. Eram 130 estações para duas pessoas tomarem conta. É natural que muita coisa acabe passando despercebido, porque o profissional de TI passa o dia todo apagando incêndio. Além disso, neste hospital, não havia proteção de email, contra Spam. A caixa postal está em um provedor que não é seguro. A pequena proteção que tiveram foi pelo Firewall, que os alertou.  

Neste caso, o criminoso cibernético pediu mil dólares para descriptografar os arquivos. Mas o valor foi exigido em bitcoins, como costuma acontecer nestes ataques. Eles pedem em bitcoins porque essa não é uma moeda rastreável, não dá para saber de onde é, diferentemente de um banco comum. Esse ataque, na verdade, foi simples, dava para ver que a pessoa não tinha muito conhecimento do que estava fazendo. Os ataques grandiosos têm um valor muito alto. 

Conseguimos resolver sem pagar o valor do resgate, mas a maternidade teve um prejuízo mesmo assim. Na segunda-feira o hospital voltou às atividades após ficar parado o fim de semana todo. Minha orientação foi que eles precisam urgentemente ter uma cultura de proteção, para ensinar os usuários sobre phishing e ataques cibernéticos. Uma pessoa recebe um e-mail dizendo algo como “aqui estão seus documentos” com um link. Se ela tiver conhecimento, não abre, porque dá para ver o endereço do site só de passar o mouse por cima do link, que nem sempre é confiável. Ter um e-mail desses na caixa não significa que você foi afetado, mas será se abrir o documento anexado ou clicar no link. Se deletar este e-mail, não acontece nada.  

Informação é tudo 

Costumo dizer que o elo mais fraco é sempre o fator humano. Uma hora a pessoa vai errar e, quando isso acontecer, o hacker está ali para atacar. Por isso, é importante treinar as pessoas, para entenderem o que é um ataque cibernético, o que é um e-mail fishing, os sites que são seguros ou não. Em três horas de conversa, ou até menos, é possível treinar o colaborador e criar uma cultura de entendimento do que é cibersegurança e a gravidade de negligenciar este aspecto.  

Também é sempre bom lembrar que a responsabilidade não é de quem abriu o e-mail infectado, mas da empresa, que precisa fazer os investimentos necessários para proteger o ambiente digital. Os produtos de segurança estão bem difundidos no mercado. Um ataque cibernético pode sair muito mais caro do que investir em prevenção. Infelizmente, muitas empresas, principalmente na área da Saúde, acabam investindo somente depois de serem invadidas.

“O elo mais fraco é sempre o fator humano. Uma hora a pessoa vai errar e, quando isso acontecer, o hacker está ali para atacar.”  

Saiba mais

Hackers atacaram os dados da sua empresa? Explicamos como proceder

Assessment de segurança da informação e a importância para sua empresa