Os Temores sobre a Violação de Dados do LabCorp não foram Conformados. Foi um Ataque de Ransomware.
A Laboratory Corporation of America Holdings ou LabCorp tem 60 mil funcionários em todo o mundo, ajuda com ensaios clínicos em quase 100 países e processa cerca de 2,5 milhões de testes de laboratório por semana. Isso significa que o LabCorp manipula e armazena dados potencialmente muito sensíveis relacionados à saúde de milhões de pessoas. Como você pode imaginar, quando a empresa anunciou que havia detectado "atividade suspeita" em sua rede de TI, as reações não foram exatamente positivas. As pessoas estavam genuinamente assustadas com suas informações de saúde. Acontece que eles não tinham muito com que se preocupar.
A notícia foi divulgada na segunda-feira, quando a empresa entrou com um pedido de 8-K na Securities and Exchange Commission. O documento não dizia muito além do fato de que, no fim de semana, alguns computadores e servidores da LabCorp estavam agindo de maneira incomum. Embora o registro sugira que a equipe de TI da empresa não fazia ideia do que estava lidando na época, muitos sistemas foram desligados para evitar danos reais.
Ontem, a CSO relatou mais detalhes sobre o ataque. Aparentemente, à meia-noite de 13 de julho, os hackers iniciaram suas tentativas de se infiltrar na rede da LabCorp forçando brutalmente as credenciais de login do protocolo RDP. Às 18 horas do dia 14 de julho, eles entraram e perderam a carga - uma variedade de ransomware conhecida como SamSam.
As Boas Notícias
Obviamente, um ataque cibernético nunca pode ser uma boa notícia, especialmente para a organização que é direcionada, mas, neste caso, temos certeza de que tanto os funcionários como os pacientes da LabCorp deram um suspiro coletivo de alívio quando descobriram que a rede do laboratório havia sido atingida. por ransomware.
A alternativa era um malware que rouba e expõe os dados dos pacientes, o que poderia ter consequências devastadoras. Depois de analisar cuidadosamente as evidências, o LabCorp afirma com confiança que nenhuma informação foi vazada. Então, você pode definitivamente dizer que poderia ter sido muito pior.
Ao saber do ataque, a equipe de TI da LabCorp imediatamente começou a colocar os sistemas offline, na tentativa de limitar o dano. Em cinquenta minutos, a infecção estava contida, mas, naquele momento, o SamSam já havia conseguido criptografar os dados em 7.000 sistemas e 1.900 servidores.
Apesar dos danos substanciais que causaram, os hackers foram embora de mãos vazias. De acordo com anúncios oficiais, o ransomware foi "removido", o que sugere que o LabCorp tinha backups de trabalho de onde eles restauraram as informações criptografadas. A empresa diz que a maioria das operações de teste foi retomada e que tudo voltará ao normal dentro de alguns dias.
Em suma, a reação da LabCorp ao ataque merece um certo nível de elogios. A empresa reagiu rapidamente, e o ransomware foi contido antes que pudesse quebrar completamente a infraestrutura da rede do laboratório. Depois disso, o gerenciamento responsável de dados confidenciais ajudou a garantir que nenhuma informação será perdida.
As Notícias não Tão Boas
O LabCorp ainda não identificou a variedade exata de ransomware, mas o CSO e suas fontes parecem estar bastante certos de que é o SamSam, porque essa família em particular atingiu mais de algumas organizações de saúde no último ano. Além do mais, embora esse não seja o único vetor de infecção, a gangue SamSam geralmente ataca vítimas por credenciais RDP de força bruta.
Novamente, os detalhes ainda não estão claros, mas as evidências sugerem que o LabCorp não tinha autenticação de dois fatores protegendo suas contas RDP. Em outras palavras, havia evidências de que o LabCorp é um alvo em potencial e, mesmo assim, apesar de ter respondido bem ao ataque, não conseguiu dar o único passo que poderia tê-lo parado.
Especialistas costumam dizer que um hacker precisa ter sucesso apenas uma vez para iniciar um ataque bem-sucedido. Os usuários e as organizações do outro lado, no entanto, precisam ter sucesso o tempo todo para impedir um incidente de segurança. O ataque de ransomware ao LabCorp prova o quão correta esta afirmação é.
