KillSec Ransomware em ataques ao setor de saúde no Brasil e região

O grupo que opera o KillSec Ransomware anunciou entre suas vítimas, nesta semana, a empresa paranaense MedicSolution, provedora de soluções de software para o setor de saúde no Brasil. O grupo ameaçou vazar dados confidenciais a menos que as negociações sejam iniciadas imediatamente, segundo relatório da Resecurity.

De acordo com relatórios da empresa, a causa raiz do incidente foi a exfiltração de dados de um bucket inseguro do AWS S3. Considerando a investigação realizada por especialistas em segurança cibernética, a janela de exposição pode ser estimada em “vários meses”. Provavelmente, este é o primeiro incidente notável na cadeia de suprimentos que afeta o setor de saúde no Brasil.
Não é a primeira vez que o grupo de ransomware tem como alvo o Brasil. Há algum tempo, os agentes vazaram dados pessoais e comerciais contendo identificadores de CNPJ/CPF, valores de transações, informações bancárias e outros dados de recursos governamentais no Brasil. Na época, o grupo não esclareceu a extensão total da violação ou sua possível origem.

O KillSec Ransomware era conhecido tanto por incidentes confirmados quanto por falsificações ou especulações. A Resecurity disse que identificou vários pacientes e os contatou – nenhum deles tinha conhecimento do incidente até o momento. Os cibercriminosos usam dados roubados de instituições de saúde para extorsão, entendendo que isso causará danos significativos não apenas à organização vítima, mas também aos seus clientes finais, visto que muitos pacientes não esperam que suas informações sejam publicadas online. O volume total de dados roubados excede 34 GB, contendo mais de 94.818 arquivos. Os dados comprometidos incluem:

• Avaliações médicas
• Resultados de exames laboratoriais
• Raios-X
• Fotos de pacientes não editadas, incluindo aquelas que mostram partes do corpo
• Registros relacionados a menores

Os agentes do ransomware KillSec também atacaram instituições de saúde na Colômbia, Peru e Estados Unidos alguns dias antes do Brasil. Esse momento demonstra o crescente interesse dos cibercriminosos na área da saúde. Há dois dias, os autores anunciaram o comprometimento bem-sucedido de diversas organizações de saúde:

• Archer Health (EUA)
• Suiza Lab (Peru)
• GoTelemedicina (Colômbia)
• eMedicoERP (Colômbia)

Há um mês, os autores vazaram dados da Doctocliq, uma importante plataforma de software para a área da saúde no Peru, que atende mais de 3.500 médicos em mais de 20 países. No passado, o grupo também teve como alvo a Força Aérea Real Saudita (RSAF) e divulgou diversos novos vazamentos de setores fora da área da saúde, incluindo o comprometimento da Nathan and Nathan (Emirados Árabes Unidos), uma provedora de soluções de RH, recrutamento e tecnologia, bem como da Ava Senior Connect (EUA), uma plataforma de comunicação projetada para comunidades de idosos.

Com base na análise da Resecurity, o KillSec Ransomware encontrou um alvo ideal para atingir organizações de saúde. As organizações de saúde armazenam grandes quantidades de dados confidenciais e valiosos, incluindo identificação pessoal, históricos médicos, detalhes de planos de saúde e informações de pagamento.

O cenário de litígios e execução de violações de dados no setor de saúde do Brasil é moldado principalmente pela Lei Geral de Proteção de Dados (LGPD), a Lei Geral de Proteção de Dados do Brasil, que entrou em vigor em 2020. A LGPD se aplica a todas as organizações que processam dados pessoais no Brasil, sendo os dados de saúde classificados como “dados pessoais sensíveis” e sujeitos a proteção reforçada e requisitos de processamento mais rigorosos.

A principal autoridade reguladora para a execução da proteção de dados é a Autoridade Nacional de Proteção de Dados (ANPD), que supervisiona o cumprimento da LGPD, investiga violações e impõe sanções. A ANPD multou 15 instituições de saúde em um total de R$ 12 milhões (~US$ 2,4 milhões) por falta de criptografia e planos de resposta a violações, como resultado da Auditoria do Setor de Saúde de 2024. Medidas corretivas adicionais incluíram testes de penetração obrigatórios e treinamento de funcionários. Desde 2023, a ANPD impôs mais de R$ 98 milhões (~US$ 20 milhões) em multas em todos os setores, com a saúde representando uma parcela significativa devido a vulnerabilidades repetidas e auditorias em todo o setor.