Hospital paga $55 000 durante ataque ransomware

Criminosos entraram na rede da Hancock Health e exigiram $55 000

Em 11 de Janeiro, peritos reportaram sobre o ataque ransomware em Greenfield, Indiana — Hospital Hancock Health. Foi exigido o pagamento de um resgate de $55 000 para recuperar o acesso aos dados dos seus pacientes. De acordo com as análises, os criminosos infiltraram o ransomware SamSam que é usado para extorquir dinheiro ao encriptar informação valiosa.

Durante o ataque no hospital do Indiana, os hackers conseguiram codificar mais de 1 400 ficheiros e marcaram-nos com a frase “I'm sorry”. Felizmente, acredita-se que não foi roubada informação pessoal dos pacientes. Os especialistas em ciber-segurança dizem que os criminosos são da Europa de Leste.

O Hospital concordou pagar o resgate apesar de ter cópias de segurança dos dados corrompidos

Inicialmente, o Hancock Health tinha cópias de segurança e podia ter facilmente recuperado os dados encriptados. Todavia, decidiram obedecer às regras dos criminosos e pagar 4 Bitcoins em troca da ferramenta de desencriptação no Domingo. A quantia do resgate é de aproximadamente $55 000 de acordo com a taxa de câmbio atual.

O Chefe Executivo do Hancock Health, Steve Long, disse que restaurar a informação a partir de cópias de segurança teria levado dias ou mesmo semanas. Assim, o hospital nem sequer considerou como opção. Ao pagar o resgate, a instituição de saúde já foi capaz de usar a sua rede na Segunda-feira.

De acordo com S. Long, pagar uma pequena parte do resgate foi mais eficiente:

Estas pessoas têm um modelo de negócio interessante. Fazem apenas dinheiro fácil (pagar o resgate). Põe o preço correto.

Os autores do ransomware SamSam conseguiram entrar no portal de acesso remoto do hospital

O Chefe Executivo do hospital assegura que o ataque ransomware não foi causado pelo comportamento descuidado dos empregados. Embora normalmente os criminosos enviem um e-mail malicioso com um anexo que infeta a rede, desta vez conseguiram entrar no portal de acesso remoto do hospital.

Usaram um nome de utilizador de vendedor externo e palavra-passe para entrar no sistema e instalar o programa malicioso na rede. Felizmente, nenhuma das máquinas usadas no tratamento e diagnóstico foram infetadas. A maioria dos pacientes nem sequer notaram que existia um problema. Porém, uma vez que o portal que permitia verificar os registos médicos estava em baixo, poderá ter causado alguma inconveniência.

Infelizmente, os criminosos são apenas encorajados pelos fundos recebidos para criar mais ameaças cibernéticas e continuar a atacar outras instituições. Os peritos dizem que a decisão do hospital de pagar o resgate não mais a mais sensata uma vez que existiam melhores opções.