Organização de saúde na Filipinas tem dificuldades para se recuperar após ataque de ransomware

A entidade governamental encarregada da gestão do sistema de saúde universal nas Filipinas está enfrentando dificuldades significativas na sua tentativa de se recuperar de um incidente de ransomware que a obrigou a desativar vários sites e portais.

Na manhã da sexta-feira, os funcionários da Philippine Health Insurance Corporation (PhilHealth) identificaram um incidente e, imediatamente, iniciaram uma investigação em colaboração com várias agências governamentais. Essa organização estatal é responsável por oferecer um programa nacional de seguro saúde para os 114 milhões de cidadãos do país.

"Ao decorrer da investigação, os sistemas afetados serão temporariamente desativados como medida de precaução para garantir a segurança de nossos aplicativos. Pedimos a compreensão do público em relação a esse assunto", declarou a organização.

Em uma atualização divulgada na segunda-feira, Emmanuel Ledesma, presidente e CEO da PhilHealth, anunciou que o acesso aos portais e sistemas eletrônicos de reivindicações dos membros da Instituição de Saúde (HCI) "foi imediatamente desligado como parte das medidas de contenção implementadas pela PhilHealth".

"Os sistemas afetados serão restaurados assim que forem concluídas as configurações necessárias e o reforço das medidas de segurança da informação existentes. Estamos trabalhando para retomar esses sistemas até segunda-feira, 25 de setembro de 2023", explicou a organização.

"A administração da PhilHealth assegura ao público que a situação está sob controle e que não houve comprometimento ou divulgação de informações pessoais ou médicas."

Eles também informaram que as instalações de saúde ainda estão operacionais para fornecer benefícios aos pacientes e que estão fazendo o possível para que os sistemas afetados voltem a funcionar até segunda-feira, 25 de setembro de 2023.

O Departamento de Tecnologia da Informação e Comunicação (DICT) e várias agências de aplicação da lei estão conduzindo uma investigação forense sobre o incidente.

Enquanto os sistemas permanecem offline, os membros e seus dependentes devem apresentar uma cópia do Cartão de Identificação PhilHealth (PIC) ou do Registro de Dados do Membro (MDR) ou outros documentos de identificação aceitáveis.

Os pagamentos pelos serviços estão sendo processados presencialmente, pois os pagamentos online estão suspensos. As instalações de saúde "continuarão a descontar os benefícios do PhilHealth e farão acordos temporários com pacientes que receberem alta, para garantir que eles possam usufruir dos benefícios".

A organização também prorrogará o prazo de apresentação de reclamações por 60 dias para reclamações feitas entre junho e setembro.

O grupo de ransomware Medusa assumiu a responsabilidade pelo ataque e adicionou a organização ao seu site de vazamento no sábado.

O grupo deu um prazo de 10 dias para a PhilHealth pagar vários resgates, incluindo US$ 100.000 para estender o prazo do ransomware e US$ 300.000 para excluir ou não divulgar os dados roubados.

No entanto, o grupo não especificou quais dados foram comprometidos ou quanto foi subtraido.

No ano anterior, a Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um alerta sobre a Medusa, que opera como um modelo Ransomware-as-a-Service (RaaS) e normalmente concede 60% dos resgates aos afiliados, mantendo o restante.

"A MedusaLocker tem sido observada recentemente, em maio de 2022, dependendo principalmente de vulnerabilidades no Protocolo de Área de Trabalho Remota (RDP) para acessar as redes das vítimas", afirmou a CISA em conjunto com o Departamento do Tesouro dos EUA e a Rede de Execução de Crimes Financeiros.

"A gangue criptografa os dados da vítima e deixa uma nota de resgate com instruções de comunicação em cada pasta que contém um arquivo criptografado."

A gangue tem como alvo principalmente organizações governamentais, incluindo o distrito escolar público de Minneapolis, uma empresa italiana que fornece água potável para quase meio milhão de pessoas, a cidade francesa de Sartrouville e a empresa estatal de telecomunicações de Tonga.

Em uma entrevista à CNN Filipinas, Jeffrey Ian Dy, subsecretário do DICT, afirmou que a Medusa "constitui agora uma ameaça ativa não apenas para as Filipinas, mas também para o mundo todo". Ele acrescentou que estão coordenando esforços com parceiros internacionais para ajudar na recuperação do incidente e expressou preocupação de que dados de funcionários possam ter sido roubados durante o ataque.

Fonte