Serviços de saúde na mira do Killnet: o que você precisa saber e fazer
A guerra na Ucrânia está se intensificando novamente nos últimos dias, com vários ataques de mísseis e drones. Isso acontece logo após as promessas de assistência feitas por aliados ocidentais de ajudar a forçar o recuo das forças russas. Mas a batalha contra cibercriminosos está chegando a outras áreas, especialmente para organizações de saúde e hospitais dos EUA.
O grupo pró-Rússia Killnet lançou uma série de ataques de DDoS (negação de serviço distribuída) nos últimos dias contra algumas das principais clínicas e centros médicos dos Estados Unidos, e muitos especialistas acreditam que ataques semelhantes podem se expandir para outros países que estão apoiando a Ucrânia.
Por que você provavelmente já ouviu falar do Killnet
O Killnet não é novo, mas a natureza de seus ataques a instituições governamentais e empresas privadas — e organizações de saúde agora — está evoluindo. Killnet é o mesmo coletivo de hackers pró-russo que recentemente derrubou o website do EP (Parlamento Europeu) com um ataque de DDoS depois que os líderes do EP "proclamaram a Rússia como uma patrocinadora estatal do terrorismo", segundo a presidente Roberta Metsola. Os websites governamentais da Lituânia, da República Tcheca e da Romênia também foram atacados.
Nos Estados Unidos, o cenário é um pouco mais amplo. Os alvos do Killnet incluíram os websites governamentais de pelo menos três estados no ano passado. Websites de aeroportos dos EUA também foram alvo do Killnet em outubro de 2022, e o grupo assumiu a autoria do roubo de dados de funcionários da Lockheed Martin, prestadora de serviços de defesa, em um ataque cibernético de agosto de 2022.
É correto afirmar que todas essas organizações possuem uma infraestrutura crítica, mas o ataque a sistemas de saúde é uma ameaça de outro nível, com o potencial de afetar milhões de pacientes de uma só vez.
Técnicas comuns, alvo inédito
O Killnet realiza ataques de dois estágios, primeiro atingindo os websites com uma inundação de HTTP e, em seguida, com um ataque de amplificação de DNS. Essas técnicas são comuns, mas o foco recente do Killnet na indústria da saúde não é.
Considerando que no final do ano passado a administração Biden anunciou a área da saúde como uma setor em que é necessário aprimorar a orientação e os requisitos quanto à cibersegurança, não é totalmente surpreendente que uma organização pró-Rússia tentaria explorar possíveis vulnerabilidades. Se essas vulnerabilidades são apenas especuladas, já é outra conversa.
O que sabemos e como podemos ajudar
Os criminosos do Killnet fazem uma pesquisa abrangente sobre seus alvos, e eventos recentes mostraram que o setor da saúde provavelmente continuará sendo um alvo principal. Com a acelerada digitalização do setor, os debates sobre postura, infraestrutura e mitigação estão evoluindo.
A Akamai conhece bem o assunto, e estamos conduzindo um diálogo proativo através da análise de dados e de técnicas de reconhecimento do invasor. Na área da saúde, isso é ainda mais importante, já que é a indústria que teve mais ataques de DDoS na plataforma da Akamai em 2022 (com exceção dos principais mercados verticais, como o comércio digital, que têm um volume maior devido à natureza estabelecida de seus setores).
O que observamos é que grupos como o Killnet parecem estar bem conscientes de quem está atualmente protegido e quem não está. Os ataques de DDoS tendem a se concentrar em entidades menos protegidas. Por meio de um reconhecimento meticuloso e preciso, os invasores determinam quem será o próximo alvo.
Sei que é difícil encontrar o tempo e os recursos para avaliar o que será necessário na resolução de possíveis riscos, mas não há nada pior do que estar em uma guerra cibernética sem um plano de resposta desenvolvido durante momentos de paz."
Roger Barranco, vice-presidente de operações de segurança da Akamai
Uma simples verificação de solicitação HTTP ou emparelhamento via protocolo BGP pode validar o caminho da solicitação da máquina do invasor de volta para o servidor Web de destino, ou determinar se a infraestrutura de destino está protegida por defesas contra DDoS baseadas em BGP/roteamento.
E depois?
Ninguém pode prever o futuro. Mas, como um setor recentemente atingido pela covid-19, margens de lucro mais baixase falta de funcionários (entre muitas outras questões), é provável que o debate sobre a preparação do setor para desafios esteja mais relacionado a resultados clínicos ou financeiros.
Isso precisa mudar. Hoje, proteger os pacientes é mais do que usar máscara ou fornecer vacinas. Trata-se de proteger os dados pessoais dos pacientes e defender, de forma holística, os sistemas que exigem tempo de atividade contínuo para fornecer assistência médica 24 horas por dia, 7 dias por semana, durante o ano todo. A avaliação do risco das ameaças é essencial para esse debate, que a Akamai conhece bem o suficiente para conduzir.
Se uma empresa aceita o risco associado a uma camada relativamente fraca em sua postura defensiva, ela deve, no mínimo, realizar uma avaliação técnica do que será necessário para uma tarefa de emergência, como tempo de provisionamento, impacto durante o tempo de provisionamento, requisitos de configuração de equipamentos existentes e custos."
Roger Barranco, vice-presidente de operações de segurança da Akamai
Saiba mais
Quer saber mais sobre a evolução e a crescente ameaça de ataques de DDoS? Esta análise de arquitetura de segurança de 30 minutos conduzida por especialistas da Akamai ajudará você a identificar se está em risco.
