Serviços de saúde na mira do Killnet: o que você precisa saber e fazer
A guerra na Ucrânia está se intensificando novamente nos últimos dias, com vários ataques de mísseis e drones. Isso acontece logo após as promessas de assistência feitas por aliados ocidentais de ajudar a forçar o recuo das forças russas. Mas a batalha contra cibercriminosos está chegando a outras áreas, especialmente para organizações de saúde e hospitais dos EUA.
O grupo pró-Rússia Killnet lançou uma série de ataques de negação de serviço distribuída (DDoS) nos últimos dias contra algumas das principais clínicas e centros médicos dos Estados Unidos, e muitos especialistas afirmam que ataques semelhantes poderiam se expandir em amplitude em outros países que estão apoiando a Ucrânia.
Por que você provavelmente já ouviu falar do Killnet
O Killnet não é novo, mas a natureza de seus ataques a instituições governamentais e empresas privadas — e organizações de saúde agora — está evoluindo. Killnet é o mesmo coletivo hacker pró-russo que recentemente derrubou o site do Parlamento Europeu (PE) com um ataque de DDoS depois que os líderes do PE "proclamaram que a Rússia é uma patrocinadora estatal do terrorismo", observou a presidente do Parlamento, Roberta Metsola. Os websites governamentais da Lituânia, da Tchéquia e da Romênia também foram atacados.
Nos Estados Unidos, o cenário é um pouco mais amplo. Os alvos do Killnet incluíram os websites governamentais de pelo menos três estados no ano passado. Websites de aeroportos dos EUA também foram alvo do Killnet em outubro de 2022, e o grupo assumiu a autoria do roubo de dados de funcionários da Lockheed Martin, prestadora de serviços de defesa, em um ataque cibernético de agosto de 2022.
É correto afirmar que todas essas organizações possuem uma infraestrutura crítica, mas o ataque a sistemas de saúde é uma ameaça de outro nível, com o potencial de afetar milhões de pacientes de uma só vez.
Técnicas comuns, alvo inédito
O Killnet realiza ataques de dois estágios, primeiro atingindo os websites com uma inundação de HTTP e, em seguida, com um ataque de amplificação de DNS. Essas técnicas são comuns, mas o foco recente do Killnet na indústria da saúde não é.
Dado o foco de alto perfil da administração Biden no final do ano passado sobre a saúde como uma área-chave para melhorar a orientação e os requisitos de segurança cibernética, não é uma surpresa completa que uma organização pró-Rússia se aproveite de vulnerabilidades. Se essas vulnerabilidades são apenas especuladas, já é outra conversa.
O que sabemos e como podemos ajudar
Os criminosos do Killnet fazem uma pesquisa abrangente sobre seus alvos, e eventos recentes mostraram que o setor da saúde provavelmente continuará sendo um alvo principal. Com a acelerada digitalização do setor, os debates sobre postura, infraestrutura e mitigação estão evoluindo.
A Akamai conhece bem o assunto, e estamos conduzindo um diálogo proativo através da análise de dados e de técnicas de reconhecimento do invasor. Na área da saúde, isso é especialmente importante, pois o setor teve a maioria dos ataques de DDoS na plataforma da Akamai em 2022 (excluindo os principais mercados verticais, como o comércio digital, que têm um volume maior devido à natureza estabelecida de seus setores).
O que observamos é que grupos como o Killnet parecem estar bem conscientes de quem está atualmente protegido e quem não está. Os ataques de DDoS tendem a se concentrar em entidades menos protegidas. Por meio de um reconhecimento meticuloso e preciso, os invasores determinam quem será o próximo alvo.
Sei que é difícil encontrar o tempo e os recursos para avaliar o que será necessário na resolução de possíveis riscos, mas não há nada pior do que estar em uma guerra cibernética sem um plano de resposta desenvolvido durante momentos de paz."
Roger Barranco, vice-presidente de operações de segurança da Akamai
Uma simples verificação de solicitação HTTP ou emparelhamento via protocolo BGP pode validar o caminho da solicitação da máquina do invasor de volta para o servidor Web de destino, ou determinar se a infraestrutura de destino está protegida por defesas contra DDoS baseadas em BGP/roteamento.
E depois?
Ninguém pode prever o futuro. Mas, como um setor que recentemente enfrentou a COVID-19, margens de lucro mais baixas e escassez de funcionários (entre inúmeros outros desafios), é provável que as conversas de prontidão no espaço de saúde tenham sido mais orientadas para resultados clínicos ou financeiros.
Isso precisa mudar. Hoje, proteger os pacientes é mais do que usar máscara ou fornecer vacinas. Trata-se de proteger os dados pessoais dos pacientes e defender holisticamente os sistemas que exigem tempo de atividade contínuo para fornecer serviços de saúde 24 horas por dia, 7 dias por semana, 365 dias por ano. A avaliação do risco das ameaças é essencial para esse debate, que a Akamai conhece bem o suficiente para conduzir.
Se uma empresa aceita o risco associado a uma camada relativamente fraca em sua postura defensiva, ela deve, no mínimo, realizar uma avaliação técnica do que será necessário para uma tarefa de emergência, como tempo de provisionamento, impacto durante o tempo de provisionamento, requisitos de configuração de equipamentos existentes e custos."
Roger Barranco, vice-presidente de operações de segurança da Akamai
