junho 25, 2021

[Segurança] Nossos exames de saúde estão na boca do povo!!!

Desculpem pelo título assustador desse post, mas a possibilidade que o ciber ataque recente ao Grupo Fleury tenha sido causado pelo ransomware REvil, pode resultar no vazamento de dados de saúde dos clientes do laboratório.

Na terça-feira desta semana, 22/06, o portal do Fleury foi colocado fora do ar e suas unidades suspenderam temporariamente o atendimento ao público, pois seus sistemas estavam indisponíveis.



O problema também atingiu a A+ Saúde, que também é do Grupo Fleury.


Até aonde eu sei, o portal Bleeping Computer foi o primeiro a reportar que o ataque foi causado pelo ransonware REvil, e que os criminosos estão exigindo um resgate em bitcoin Monero equivalente a 5 milhões de dólares - e até publicaram uma imagem da tela exigindo o resgate.


Embora oficialmente o grupo Fleury não confirme o caso, no momento em que escrevo esse post, já surgiram informações sobre o ataque na Dark Web, indicando que os ciber criminosos conseguiram roubar 450 GB de dados, incluindo resultados de exames, transações bancárias e dados de e-mail e telefone.


Neste exato momento, 25/06, o site continua mostrando o banner do ataque, com o acesso ao portal de resultados dos exames indisponível, e o atendimento presencial, nos laboratórios, está sendo feito através de contingência.


Nos grupos de WhatsApp da galera de segurança, rolou um documento com o mapeamento do ataque ao Fleury de acordo com o framework Mitre Att&ck:


Segundo esse mapeamento, se for verídico, houve um escaneamento na infra-estrutura do Fleury e nas contas de funcionários, e o ataque se concretizou graças a um Phishing que conseguiu capturar credenciais válidas. Com essas contas, o atacante conseguiu acessar a política de domínio e, através de acesso remoto, conseguiu se mover lateralmente. Os dados foram exfiltrados, posteriormente criptigrafados e os sistemas sequestrados.

A propósito, eu vou aproveitar para elogiar abertamente o sistema de login de clientes no portal do Fleury. Eu acredito que eles conseguiram bolar uma forma criativa, simples e segura de autenticação. Para acessar os resultados dos exames médicos, os clientes tem que fornecer seu CPF e o telefone ou e-mail cadastrado no momento em que realizou o exame. A senha temporária de acesso é enviada via SMS ou e-mail para o contato cadastrado.

Para saber mais:
PS: Post atualizado em 25/06 e 01/07.

Um comentário:

Daniel Quadros disse...

Uma dúvida de quem não é na área: organizações deste porte não deveriam ter algum tipo de alarme para detectar este volume todo de dados saindo?

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.