Um sistema debilitado

Não foi o primeiro, mas foi, provavelmente, o mais mediático e há quem diga que foi o maior ataque conhecido contra um serviço de saúde. A 14 de maio de 2021, o serviço de saúde da Irlanda (Health Service Executive, HSE) sofreu um ciberataque de ransomware que levou todos os seus sistemas de IT no país a serem desligados.

O ataque foi levado a cabo pelo grupo de ransomware Conti e foi pedido um resgate de 20 milhões de dólares, valor que o governo irlandês insistiu em não pagar. Ainda que o grupo tenha fornecido a chave de desencriptação gratuitamente – o que permitiu que os sistemas voltassem a estar ativos – o grupo ameaçou publicar os dados dos pacientes caso o resgate não fosse pago.

“Há um ataque de ransomware significativo nos sistemas de IT da HSE”

14 de maio de 2021, uma sexta-feira, o HSE utiliza o Twitter para informar que decidiu, como medida de precaução, “desligar todos os nossos sistemas de IT para os proteger” de um “ataque significativo de ransomware” e que, assim, poderiam “perceber por completo a situação com os nossos parceiros de segurança”.

Na altura, em entrevista à rádio RTE, Paul Reid, diretor-geral do HSE, explicou que a organização tomou conhecimento do ciberataque durante a noite e que atuou de imediato. A principal prioridade foi, “obviamente, conter”.

Ainda que o ciberataque não tenha tido impacto no programa de vacinação contra COVID- -19 que na altura já estava a decorrer – uma vez que este sistema corria numa infraestrutura separada – várias consultas, um pouco por todo o país, foram canceladas nessa sexta-feira.

O grupo cibercriminoso afirmou que passou duas semanas nos sistemas de HSE antes de lançar o ataque. Durante esse período, dizem, encriptaram e roubaram 700GB de dados. Dez dias depois do ciberataque ter sido conhecido, ainda havia disrupções nos hospitais irlandeses; os resultados laboratoriais, por exemplo, tiveram de ser impressos e entregues em mãos, o que diminuiu significativamente os testes e forçou o serviço de saúde a reservar a colheita de sangue apenas para casos urgentes. Nos hospitais, tudo voltou ao tradicional papel, com o staff a ser aconselhado a não ligar os computadores.

‘A chave de desencriptação está aqui, mas ainda vamos publicar os dados’

Na verdade, dias depois do ciberataque, o grupo entregou a chave de desencriptação gratuitamente para o serviço de saúde da Irlanda. No entanto, os cibercriminosos insistiram que se o resgate de 20 milhões de dólares não fosse pago, os dados roubados seriam vendidos ou publicados.

No site onde deveria decorrer o pagamento, o cibergrupo escreveu que “vamos fornecer a ferramenta de desencriptação para a vossa rede gratuitamente, mas devem entender que vamos vender ou publicar uma grande quantidade de dados privados se não nos contactarem e tentarem resolver a situação”.

O departamento de saúde da Irlanda anunciou em comunicado, no mesmo dia, que tinha conhecimento da chave de desencriptação, mas, antes de a utilizar, iria fazer uma investigação para concluir que a chave funcionava corretamente.

À espera de atualização

No final de setembro, a Euronews reportou que a HSE ainda utilizava 30 mil computadores desatualizados, computadores esses que ainda utilizam o sistema operativo Windows 7, cujo suporte oficial terminou no início de 2020.

Desses 30 mil computadores, o HSE afirma que cerca de 12 mil “não podem ser substituídos ou atualizados no momento”, uma vez que estão associados a máquinas especializadas, nomeadamente dispositivos de raio X e de laboratório. No entanto, os executivos do HSE afirmam que os computadores estão a ser gradualmente substituídos por máquinas mais modernas.

Recuperação

Paul Reid perspetivou, em junho, que os custos deste ataque de ransomware iriam ultrapassar os 600 milhões de dólares, incluindo 120 milhões utilizados nas necessidades de recuperação imediatas, nomeadamente a contratação de especialistas.

Os restantes custos dizem respeito à substituição e ao melhoramento do sistema afetado pelo ransomware, assim como ao pagamento da ajuda de cibersegurança externa à organização.

Simultaneamente, o HSE planeia implementar um SOC que lhes permita monitorizar potenciais ciberameaças à sua rede.

O governo irlandês afirmou, repetidamente, que o resgate nunca foi pago por si ou por alguém em seu nome.

No final de setembro, o HSE anunciou que 95% de todos os servidores e dispositivos tinham sido restaurados e estavam novamente operacionais.