Agressores infectam dispositivos médicos com malware

Agressores infectam dispositivos médicos com malware

Hackers atacam equipamentos médicos e

Agressores infectam dispositivos médicos com malware para o roubo de dados confidenciais e controle de sistemas de saúde

Depois da violação de dados de funcionários do governo norte-americano, as informações médicas são o novo alvo dos cibercriminosos. Segundo a Reuters, dados médicos confidenciais podem valer até dez vezes mais que o número de um cartão de crédito e as redes hospitalares passam a conviver com dispositivos infectados por malwares.

A empresa de cibersegurança TrapX divulgou um relatório a respeito de três ataques a hospitais através da exploração de um vetor batizado pelos pesquisadores de MEDJACK.

“O MEDJACK traz sério risco às grandes instituições de saúde globais e os dispositivos médicos afetados pelo vetor de ataque podem ser o elo mais fraco na corrente”, alertou o relatório.

Em três hospitais distintos, a TrapX encontrou o comprometimento extenso de uma variedade de dispositivos médicos, que inclui equipamentos de Raio-X, sistemas de comunicação e arquivamento de imagens e analisadores de gasometria arterial.

A empresa adverte para o risco em outros dispositivos, como equipamentos de diagnósticos (tomografia, ressonância magnética e tomografia), terapêuticos (bombas de infusão, lasers e máquinas cirúrgicas) e de medicina intensiva (circulação extracorpórea, respiradores, oxigenação por membrana extracorpórea e hemodiálise).

Ataque aos analisadores de gasometria arterial

Os analisadores de gasometria arterial são usados no tratamento de condições críticas e durante cirurgias. Segundo o relatório, um hospital não revelado contava com um “conjunto forte de produtos de ciberdefesa” e mesmo assim foi incapaz de detectar a invasão. A TrapX determinou que os ataques se moviam lateralmente pela rede devido a três analisadores infectados com malware, que habilitaram backdoors na rede hospitalar.

Os ataques extraiam e emitiam dados hospitalares confidenciais para uma localização na União Europeia. A TrapX identificou os malwares Zeus e Citadel além de outras variantes de worms usadas para encontrar senhas adicionais dentro do hospitais. A empresa acredita que o movimento lateral pode ter habilitado a infecção de uma das estações de trabalho de TI do hospital.

Quando a equipe da TrapX usou a unidade Nova Biomedical CCX (Critical CareExpress) para recriar o ataque em um ambiente simulado, descobriu que os dados não eram criptografados. Ela determinou que, estabelecida uma backdoor no analisador de gasometria arterial (ou qualquer outro dispositivo médico), quase qualquer forma de manipulação dos dados não criptografados armazenados e fluindo pelo dispositivo era possível. Em outras palavras, a empresa acredita que o vetor de ataque MEDJACK tenha o potencial de distorcer e modificar dados internos.

O relatório expôs que os dispositivos médicos são rodam versões datadas, fechadas, por vezes modificadas e inseguras de sistemas operacionais como o Windows 2000, Windows XP ou Linux. Por esse motivo, o vetor de ataque MEDJACK se torna um alvo vulnerável aos agressores. Enquanto os defensores são incapazes de detectar ou remediar um ataque, eles se veem diante de uma porta aberta, sendo capazes de acessar a rede, passar por cima da segurança existente e ainda ter tempo disponível para infectar um dispositivo médico e estabelecer uma backdoor.

Embora os hospitais costumem instalar dispositivos médicos atrás de um firewall e rodem antivírus além de contarem com outras medidas de seguranças de intrusão e endpoint, a TrapX indica que os aparelhos são um ponto chave para os agressores dentro das redes hospitalares. Equipes de TI do setor da saúde não conseguem acessar seus softwares internos, passando a depender dos fabricantes para o desenvolvimento e manutenção de sistemas de segurança para esses aparelhos. Mesmo assim, os fornecedores ainda não desenvolveram o mecanismo necessário para detectar a maior parte dos payloads de software causados pelo ataque MEDJACK.

Radiologia hospitalar

Durante um ataque persistente a outro hospital, o agressor se moveu lateralmente pela rede procurando outro alvo. A fonte desse movimento era o sistema que abastece o departamento de Radiologia com armazenagem e acesso a imagens derivadas de fontes múltiplas, como aparelhos de tomografia, ressonância magnética, raios-X portátil, raios-X e ultrassom. O sistema ainda tentou atuar como um botnet e conectar-se com o setor de Comando e Controle.

O movimento lateral aparenta ter habilitado a infecção de uma estação de trabalho chave para enfermeiras. Além disso, dados hospitalares confidenciais foram exfiltrados para Guiyang, na China. Acredita-se que a infecção tenha começado no acesso de um usuário-final a um site malicioso.

Sistemas de raios-X infectados por malware

No terceiro ataque registrado pela TrapX, componentes críticos de dispositivos médicos foram infectados com malware avançado. Desta vez, o agressor instalou uma backdoor em um dos sistemas de raios-X do hospital.

“Nossos cientistas observaram que você pode produzir um ataque projetado especialmente para vários modelos de um aparelho específico e então lançá-lo. Isso, combinado à dificuldade de diagnóstico e remediação (assim como o alto valor dos dados hospitalares) cria alvos quase perfeitos para o crime organizado”, declarou o gerente da TrapX, Carl Wright.

Alterando as quantidades para doses fatais

A possibilidade de ataques letais a dispositivos médicos (como bombas de insulina e marca-passos) pressionou os agentes federais americanos a protegerem dispositivos médicos wireless de potenciais hackers e o Departamento de Segurança Interna dos Estados Unidos começou a investigar 24 falhas potencialmente letais nesses aparelhos. A possibilidade das bombas de infusão de medicamentos serem exploradas remotamente para aplicarem doses fatais só multiplicou as notícias ruins.

O pesquisador de segurança Billy Rios descobriu vulnerabilidades em ao menos 5 modelos da bomba de infusão Hospira, segundo o Wired: a bomba padrão PCA LifeCare, PCA3 LifeCare e PCA5 LifeCare, bem como a linha de bombas Symbiq e o modelo Plum A+.

O Wired acrescentou que existem ao menos 325 mil bombas de infusão Plum A+ instaladas em hospitais ao redor do mundo. Embora Rios não tenha testado outros modelos, ele ainda assim suspeita que o Plum A+3, o Sapphire e o SapphirePlus também sejam vulneráveis.

Fonte: Computer Wordl

0 Comments

Leave Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

A SUA EMPRESA ESTÁ COM PROBLEMAS NO AMBIENTE DE TI?

A partir de uma consultoria com foco no seu negócio, avaliaremos o ambiente e operação de TI atuais e, junto com o gestor responsável, apresentaremos um plano de recomendação do ambiente tecnológico que irá gerar o melhor resultado financeiro para a sua empresa.

PARA MAIS INFORMAÇÕES

(11) 2789 -9944
rh@innovision.com.br | financeiro@innovision.com.br | comercial@innovision.com.br

Endereço: Rua Funchal, 411- 5º andar - Vila Olímpia - São Paulo - SP - Brasil