O Grupo Meddi opera uma série de laboratórios de exames na Bahia sob as marcas Meddi, Multimagem e IHEF, e tem convênio com diversos planos de saúde. Conforme apurou o Tecnoblog, a empresa foi vítima do ransomware Avaddon, que criptografou um enorme volume de dados . O hacker responsável pelo ataque expôs senhas de acesso e documentos financeiros, e ameaça vazar mais informações confidenciais se não receber um pagamento.
"Meddi Laboratório, você tem 240 horas para entrar em contato e cooperar conosco", avisou o grupo na terça-feira (16) em seu site na dark web . "Se isso não acontecer, vamos vazar todos os documentos importantes e confidenciais de sua empresa, assim como relatórios financeiros e muito mais." Eles não revelam qual é o valor do resgate, geralmente cobrado em bitcoin para dificultar o rastreamento.
Como amostra, a página inclui um print com login e senha para acessar o portal de mais de 20 planos de saúde. Há ainda um contrato de credenciamento; um detalhamento do fluxo de caixa da Multimagem para janeiro de 2020 e novembro de 2018; e o contrato de locação de um instituto de hematologia.
A equipe de TI da Meddi não estava a par dessa tentativa de extorsão, e só ficou sabendo disso quando o Tecnoblog entrou em contato. A empresa garante, no entanto, que os servidores afetados pelo ransomware armazenavam somente informações internas, não dados de pacientes como resultados de exames.
"O Grupo Meddi esclarece que, ao receber o contato do Tecnoblog, tomou ciência de um ato criminoso em andamento na deep web, a partir da negociação de dados administrativos das empresas que compõem o Grupo", diz o posicionamento oficial divulgado nesta quarta-feira (17).
Para lidar com essa situação, a Meddi formou um comitê com profissionais das áreas de TI e segurança da informação, comercial, comunicação e jurídico. A empresa está avisando as pessoas cujos dados foram indevidamente acessados, tal como médicos, conforme manda a LGPD (Lei Geral de Proteção de Dados Pessoais). Ela também alterou senhas de usuários e serviços afetados, e abriu boletim de ocorrência junto à Polícia Civil de Feira de Santana (BA).
Além disso, a companhia prepara um relatório de incidente de segurança detalhando ações corretivas que serão adotadas, incluindo:
- revisão das regras do firewall e da comunicação entre as VPNs do grupo;
- criação de VLANs por serviço e área para facilitar o bloqueio de um potencial tráfego indevido;
- implantação de um software de SIEM (gerenciamento de eventos e informações de segurança), que serve para monitorar logs de acesso;
- implantação de um IPS (sistema de prevenção de invasão), que permite responder a ataques com mais rapidez ao identificar ameaças em potencial.
Meddi sofreu dois incidentes de segurança
O comunicado não entra em detalhes sobre o ataque em si, mas a Meddi sofreu dois incidentes de segurança este mês. Em sua conta oficial do Instagram, a Meddi Laboratório informou em 4 de fevereiro que teve atraso ao marcar exames e entregar resultados "em razão de instabilidade em nosso sistema operacional".
Dias depois, ela divulgou um novo comunicado: o sistema "ficou inoperante nesta quarta, 10/02, devido a um incidente de segurança da informação". Nos dois casos, o motivo foi o ransomware Avaddon , segundo apurou o Tecnoblog.
A Multimagem e IHEF, que também pertencem ao Grupo Meddi, publicaram os mesmos avisos em suas respectivas contas do Instagram. Os posts não mencionam o ataque hacker .
O Avaddon opera com um programa de afiliados: são pessoas interessadas em utilizar o ransomware que outro hacker criou, pagando a ele uma comissão que varia de 25% a 35% do resgate recebido, dependendo do número de vítimas. Esse modelo é conhecido como Ransomware as a Service, e fez aumentar a quantidade de ataques que vêm ocorrendo no último ano.
Os responsáveis pelo Avaddon adotam a tática de extorsão dupla: ou seja, eles criptografam seus dados usando uma chave AES256 única e cobram para liberá-los; se você tiver um backup, então eles cobram para não vazarem suas informações.
A ANPD (Autoridade Nacional de Proteção de Dados) só poderá aplicar multas relacionadas à LGPD a partir de agosto de 2021. No entanto, pessoas que forem afetadas por um vazamento podem entrar com processo na Justiça.
O site DataBreaches.net, que descobriu o incidente de segurança na Meddi, também menciona outras duas vítimas recentes de ransomware no setor de saúde: um laboratório na Itália e uma empresa nos EUA que administra hospitais e clínicas.