Na terça-feira desta semana, 22/06, o portal do Fleury foi colocado fora do ar e suas unidades suspenderam temporariamente o atendimento ao público, pois seus sistemas estavam indisponíveis.
O problema também atingiu a A+ Saúde, que também é do Grupo Fleury.
Até aonde eu sei, o portal Bleeping Computer foi o primeiro a reportar que o ataque foi causado pelo ransonware REvil, e que os criminosos estão exigindo um resgate em bitcoin Monero equivalente a 5 milhões de dólares - e até publicaram uma imagem da tela exigindo o resgate.
Embora oficialmente o grupo Fleury não confirme o caso, no momento em que escrevo esse post, já surgiram informações sobre o ataque na Dark Web, indicando que os ciber criminosos conseguiram roubar 450 GB de dados, incluindo resultados de exames, transações bancárias e dados de e-mail e telefone.
Neste exato momento, 25/06, o site continua mostrando o banner do ataque, com o acesso ao portal de resultados dos exames indisponível, e o atendimento presencial, nos laboratórios, está sendo feito através de contingência.
Nos grupos de WhatsApp da galera de segurança, rolou um documento com o mapeamento do ataque ao Fleury de acordo com o framework Mitre Att&ck:
Segundo esse mapeamento, se for verídico, houve um escaneamento na infra-estrutura do Fleury e nas contas de funcionários, e o ataque se concretizou graças a um Phishing que conseguiu capturar credenciais válidas. Com essas contas, o atacante conseguiu acessar a política de domínio e, através de acesso remoto, conseguiu se mover lateralmente. Os dados foram exfiltrados, posteriormente criptigrafados e os sistemas sequestrados.
A propósito, eu vou aproveitar para elogiar abertamente o sistema de login de clientes no portal do Fleury. Eu acredito que eles conseguiram bolar uma forma criativa, simples e segura de autenticação. Para acessar os resultados dos exames médicos, os clientes tem que fornecer seu CPF e o telefone ou e-mail cadastrado no momento em que realizou o exame. A senha temporária de acesso é enviada via SMS ou e-mail para o contato cadastrado.
Para saber mais:
- Healthcare giant Grupo Fleury hit by REvil ransomware attack
- Serviços do Grupo Fleury são interrompidos após tentativa de ataque cibernético
- Grupo Fleury foi vítima do mesmo ransomware que infectou TJ-RS, Sol Oriens, JBS e Colonial Pipeline
- Fleury é alvo do ransomware REvil e pacientes ficam sem acesso a exames
- Grupo Fleury é atacado por ransomware e sistemas saem do ar
- Grupo Fleury não confirma ransomware REvil tampouco se pagou resgate
- Criptomoeda Monero tem sido preferência entre cibercriminosos
- Cybereason: 80% of orgs that paid the ransom were hit again
PS: Post atualizado em 25/06 e 01/07.
Um comentário:
Uma dúvida de quem não é na área: organizações deste porte não deveriam ter algum tipo de alarme para detectar este volume todo de dados saindo?
Postar um comentário