O fornecedor de serviços de saúde sem fins lucrativos Cooperative de Saúde do Grupo do Sul-Central de Wisconsin (GHC-SCW) revelou que uma gangue de ransomware invadiu sua rede em janeiro e roubou documentos contendo informações pessoais e médicas de mais de 500.000 indivíduos.
No entanto, os atacantes não conseguiram criptografar os dispositivos comprometidos, o que permitiu ao GHC-SCW proteger seus sistemas com a ajuda de especialistas externos em resposta a incidentes cibernéticos e trazê-los de volta online após serem isolados para conter a violação.
"Na madrugada de 25 de janeiro de 2024, o GHC-SCW identificou acesso não autorizado à sua rede.
Seu Departamento de Tecnologia da Informação (TI) isolou e protegeu intencionalmente sua rede, causando a indisponibilidade temporária de vários de seus sistemas," disse a organização de saúde em um comunicado à imprensa publicado na terça-feira.
"Em 9 de fevereiro de 2024, durante nossa investigação, descobrimos indícios de que o atacante havia copiado alguns dos dados do GHC-SCW, que incluíam informações de saúde protegidas (PHI).
Nossa descoberta foi confirmada quando o atacante, uma gangue de ransomware estrangeira, contatou o GHC-SCW alegando responsabilidade pelo ataque e pelo roubo de nossos dados."
Os dados de saúde roubados durante o ataque de ransomware de janeiro incluem nomes dos indivíduos afetados, endereços, números de telefone, endereços de e-mail, datas de nascimento e/ou morte, números de segurança social, números de membros, e números de Medicare e/ou Medicaid.
Apesar de não fornecer o número exato de pessoas afetadas, informações adicionais compartilhadas com o Departamento de Saúde e Serviços Humanos dos EUA mostram que a violação de dados impactou 533.809 indivíduos.
Como resposta ao incidente, o GHC-SCW diz ter tomado medidas de segurança para prevenir tais violações no futuro, incluindo o fortalecimento de controles existentes, backup de dados e treinamento de usuários.
Indivíduos impactados são aconselhados a monitorar todas as comunicações de provedores de saúde, incluindo mensagens eletrônicas, declarações de cobrança e outras comunicações, e a relatar qualquer atividade suspeita ao GHC-SCW imediatamente.
O GHC-SCW ainda não encontrou evidências do uso malicioso das informações roubadas.
Embora a organização de saúde sem fins lucrativos baseada em Wisconsin não tenha revelado o nome do grupo de ameaças por trás da violação de janeiro, a gangue de ransomware BlackSuit reivindicou o ataque em março.
De acordo com as alegações dos atacantes, os arquivos roubados também contêm informações financeiras dos pacientes afetados, dados dos funcionários, contratos comerciais e correspondências por e-mail.
Embora o site de vazamento na dark web do BlackSuit tenha sido detectado pela primeira vez em maio passado e tenha sido atualizado desde então com dezenas de novas vítimas, pouco se sabe sobre o grupo por trás desta operação de ransomware.
Em junho, a altamente ativa gangue de ransomware Royal—considerada a sucessora direta do notório grupo de cibercrime Conti—começou a testar um novo criptografador chamado BlackSuit, após rumores de uma rebranding começarem a surgir em abril.
Desde então, a Royal se reorganizou como BlackSuit e se reestruturou em uma operação mais centralizada, semelhante ao modelo que usavam quando faziam parte do sindicato Conti como Team 2 (Conti2).
O FBI e a CISA revelaram em um comunicado conjunto de novembro que a gangue de ransomware Royal havia violado as redes de pelo menos 350 organizações em todo o mundo desde setembro de 2022 e vincularam a operação a mais de $275 milhões em demandas de resgate.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...