As ligações chegavam uma atrás da outra, vindas de hospitais.
Criminosos estavam infectando redes de computadores em um ataque em massa que colocava inúmeras vidas em risco.
No centro nacional de cibersegurança, em Bucareste, o DNSC, os especialistas assistiam, impotentes, à expansão dos hackers pela Romênia por meio de um software médico amplamente usado.
O chefe de cibersegurança, Dan Cimpean, teve de tomar uma decisão difícil, mas era a única opção disponível.
A ordem foi enviada para mais de 100 hospitais: desconectem-se da internet, agora.
O cyber-attack contra hospitais romenos, em fevereiro de 2024, está entre os mais graves já registrados contra sistemas de saúde no mundo.
Ainda assim, incidentes desse tipo têm se tornado cada vez mais comuns.
O FBI afirmou recentemente que a área mais visada da infraestrutura crítica nacional hoje é a saúde.
Desligar 100 hospitais da internet freou os hackers e ganhou tempo para entender a dimensão do ataque.
Mas a medida significou a perda de dispositivos conectados, e-mails e navegadores.
As equipes médicas precisaram voltar ao papel e à caneta, improvisando soluções para proteger os pacientes enquanto os times de TI corriam contra o relógio e o centro nacional de resposta cibernética tentava descobrir como os hackers haviam entrado e como expulsá-los.
As ações tomadas ao longo de quatro dias, a partir de 10 de fevereiro de 2024, e a resposta de médicos e enfermeiros foram amplamente elogiadas.
A forma como reagiram e conseguiram lidar com a crise virou um caso de estudo para planejadores de desastres no mundo todo, enquanto autoridades buscam orientação sobre como responder a um ataque em massa a hospitais.
A cirurgiã Oana Goidescu estava de plantão no Hospital Buzău, a 120 km a nordeste de Bucareste, quando recebeu o alerta de que invasores haviam comprometido a empresa de software RSC, sediada na capital romena, infiltrando-se em um sistema médico amplamente utilizado chamado Hippocrates.
“Foi uma experiência bastante desagradável, porque um registro de TI não é apenas uma lista de pacientes”, disse ela.
“Para cada paciente, solicitamos exames laboratoriais, radiologia, medicamentos e suprimentos.
Tudo isso desapareceu.”
O Hippocrates é usado por médicos, enfermeiros e cirurgiões para gerenciar desde admissões e folha de pagamento até logística da farmácia e resultados de exames.
Em silêncio, os criminosos começaram a infectar hospitais de todo o país que usavam o sistema com uma cepa de ransomware chamada BackMyData.
Os arquivos eram embaralhados até virarem um amontoado de caracteres sem sentido, e a exigência era um resgate em bitcoin.
A equipe do hospital infantil de Pitești, a noroeste de Bucareste, foi a primeira a perceber erros na manhã de domingo, um dia depois do início do ataque.
Ao amanhecer de segunda-feira, muitos outros hospitais já haviam informado que o sistema Hippocrates estava fora do ar.
Com os hospitais offline, os especialistas em cibersegurança trabalharam em conjunto com o fabricante do Hippocrates para descobrir quantos sistemas haviam sido infectados e expulsar os hackers.
Os médicos hospitalares responderam criando alternativas para proteger os pacientes até que tudo voltasse a funcionar.
“Quando vimos que o sistema não seria reparado rapidamente, desenvolvemos um método offline para registrar cada paciente”, disse Vlad Paic, do Hospital Carol Davila, em Bucareste.
“Pedimos ao laboratório que nos entregasse os resultados em papel.
Usamos Excel e outras ferramentas offline para garantir que o atendimento não fosse afetado.”
Alguns médicos disseram que a migração recente da Romênia para sistemas digitais ajudou na transição de volta a processos mais analógicos.
Os investigadores de cibersegurança trabalharam durante a noite e concluíram que 26 hospitais haviam sido infectados com o BackMyData.
No dia seguinte, os hospitais não infectados foram reconectados, com proteções adicionais.
O DNSC afirma que parte do sucesso da operação veio da forma como a mídia foi usada para comunicar com hospitais e com o público.
As mensagens orientavam os pacientes a evitar hospitais, a menos que fosse realmente necessário.
Mesmo assim, as salas de espera continuavam lotadas, e Goidescu disse que alguns pacientes frustrados descontaram a raiva na equipe.
“Nos perguntaram: ‘E se fosse sua mãe?’ Eles tinham razão em ficar com raiva, mas tentamos explicar que não tínhamos culpa”, disse ela.
Outra orientação importante foi para que os hospitais não falassem com os hackers nem pagassem o resgate.
Os invasores haviam exigido 160.000 euros, o equivalente a 138.000 libras ou 183.000 dólares, em bitcoin, mas a decisão nacional foi não pagar.
Nos hospitais que ainda estavam offline, as equipes de TI correram para restaurar os sistemas a partir de backups.
A maioria tinha cópias relativamente recentes dos dados, uma lição essencial.
Backups regulares permitem que organizações se recuperem com mais rapidez.
Em cinco dias, a maioria dos hospitais já estava de volta online e operando quase normalmente, sem relatos de mortes ou de danos graves a pacientes.
Ainda seriam necessárias semanas para inserir novamente todas as informações registradas em papel durante a interrupção.
Parte dos dados se perdeu para sempre.
A polícia não comenta a investigação sobre quem esteve por trás do ataque.
No entanto, no ano passado, um grupo de ransomware ligado ao BackMyData teve seu site derrubado em uma operação internacional.
Quatro russos foram presos fora da Rússia, país cujas autoridades não cooperam com as forças de segurança do Ocidente.
Cimpean afirmou que o ataque poderia ter acontecido em qualquer lugar.
“Quanto mais tecnologia você tem, quanto mais digitalizado está, maior é o risco”, disse ele.
No ano passado, o serviço de saúde NHS, do Reino Unido, confirmou que um hack em uma empresa de exames de sangue, que afetou cerca de uma dúzia de centros médicos em Londres, contribuiu para a morte de um paciente.
Foi o primeiro caso de morte oficialmente associado a um cyber-attack.
Na mesma época, a Change Healthcare, nos Estados Unidos, também foi hackeada, provocando ampla interrupção.
A empresa pagou 22 milhões de dólares em resgate aos hackers.
Os hackers também causaram caos mais tarde no ano com um ataque a outro prestador de serviços de saúde dos EUA, a Ascension.
Alina Bîzgă, da empresa de cibersegurança Bitdefender, em Bucareste, afirma que ataques a hospitais são atraentes para criminosos que buscam criar caos em troca de dinheiro.
“Os hospitais lidam com serviços críticos, e os criminosos acham que, quanto maior a interrupção, maior a chance de receberem um resgate”, disse ela.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...