O setor farmacêutico está em constante transformação e enfrenta novos desafios cibernéticos à medida que surgem novas tecnologias e processos digitais orientados por dados e robotização. O que está em jogo são as pesquisas sobre tratamentos que salvam vidas, patentes, inovação de ponta e propriedade intelectual.
A pandemia de covid-19 impactou a área acelerando a digitização do local de trabalho. Com essa disrupção, vários cibercriminosos aproveitaram o momento para realizar atividades de espionagem e obter ganhos financeiros.
Também cresceu a dependência de fornecedores terceirizados; a adoção da digitização e de tecnologias industriais da Internet das Coisas (IoT, na sigla em inglês); e a transição para ambientes híbridos e “multinuvem”. Essa evolução gerou uma lista crescente de preocupações cibernéticas, como ataques à cadeia de suprimentos, violações de terceiros e configurações incorretas que levam a vazamentos de dados.
Este relatório fornece uma visão geral dos riscos mais comuns enfrentados atualmente pelo setor, assim como informações para apoiar sua empresa em estratégias de defesa baseadas em inteligência. A análise se vale de nossos dados de inteligência sobre ataques cibernéticos realizados nos últimos anos. São conhecimentos acumulados em nossos trabalhos de resposta a incidentes em todo o mundo e extraídos de relatórios públicos sobre ataques ao setor farmacêutico.
O setor farmacêutico é o alvo principal de espionagem e de cibercriminosos com motivações financeiras. Enquanto o mundo lutava contra a crise sanitária, vários agentes de ameaças capitalizaram o medo, a incerteza e os esforços para combater o vírus, utilizando campanhas de phishing e malware – ou seja, aproveitaram a forma de se comunicar dos órgãos oficiais imitando até identidades visuais, para realizar ataques. Além disso, um dos tipos de ofensiva mais comuns foi o ransomware. Também identificamos casos extremos de sabotagem e hacktivismo.
O objetivo dos cibercriminosos é obter dados confidenciais e propriedade intelectual de pesquisas médicas por causa das vantagens econômicas que vacinas e medicamentos podem oferecer. Os ataques motivados por espionagem geralmente são causados por invasores patrocinados por nações ou por empresas concorrentes. Enquanto estas estão interessadas em coletar informações para alcançar maior vantagem competitiva, os primeiros têm escopo mais técnico, de acordo com a geopolítica e a economia de seus respectivos países ou organizações. Dado o aumento de ataques apoiados por nações com histórico de ataques cibernéticos, muitas organizações têm trabalhado com agências governamentais para proteger suas pesquisas.
Em maio de 2020, o agente de ameaças iraniano Yellow Garuda (também conhecido como Charming Kitten) visou o e-mail de um executivo de uma empresa farmacêutica americana envolvida na pesquisa e no desenvolvimento de tratamentos e vacinas contra a covid-19.
Em julho de 2020, o Departamento de Segurança Interna (DHS) dos EUA, o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido e o Serviço de Segurança de Comunicações (CSE) do Canadá afirmaram que um criminoso russo, que identificamos como Blue Kitsune (ou APT29), mirava instituições de pesquisa acadêmica e farmacêutica para obter informações de vacinas contra a covid-19. Esse grupo usou um malware personalizado conhecido como WellMess, que permite que o criminoso interaja com as vítimas off-line e com um nível de abstração entre o agente e o software malicioso.
Também em julho de 2020 o governo dos EUA acusou dois cidadãos chineses de conduzir ataques de espionagem cibernética em nome do governo chinês, bem como outros ataques com motivações financeiras pessoais contra vários setores. Os ataques pareciam alinhados com a iniciativa do governo chinês “China Saudável 2020” e com seu foco na fabricação de equipamentos de ponta.
No fim de 2020, o agente de ameaças norte-coreano Black Artemis (também chamado de Lazarus) conduziu dois ataques contra organizações envolvidas na pesquisa da doença. Outro agente norte-coreano, que mapeamos como Black Banshee (ou Kimsuky e Velvet Chollima), foi observado registrando vários novos domínios entre o fim de agosto e outubro de 2020.
A covid-19 pode ter atraído agentes de ameaças envolvidos com espionagem, mas esses grupos sempre visaram organizações do setor farmacêutico para roubo de propriedade intelectual e informações confidenciais. O objetivo das atividades variava entre a transferência de tecnologia, espionagem econômica e o avanço das iniciativas de saúde pública dos governos patrocinadores. Como essas atividades são abrangentes por natureza, os cibercriminosos costumam atacar várias vítimas ao mesmo tempo.
Devido a ataques oportunistas, que afetam desde informações confidenciais a sistemas críticos, agentes de ameaças com motivação financeira continuam sendo a principal preocupação para o setor farmacêutico. Eles normalmente operam com risco muito menor, recompensa maior e um modus operandi variável. No entanto, alguns têm demonstrado técnicas mais sofisticadas, com envio de e-mails de spear phishing bem elaborados, além da capacidade de persistência e de se mover lateralmente pelas redes de vítimas. Essas atividades têm um custo maior em termos de tempo, o que significa que os ataques costumam ter um volume menor.
O ecossistema que envolve os operadores de ransomware também desenvolveu mercados clandestinos para facilitar a compra e venda de acessos, seja por meio de malware, exploração de vulnerabilidades, exposição de credenciais ou outros.
O impacto do Ransomware-as-a-Service (RaaS) cresceu desde 2019, e os agentes por trás desses ataques dependem de operações de infecção prevalentes e indiscriminadas para criptografar os sistemas das vítimas.
Os operadores de ransomware enxergam alto valor nas organizações do setor farmacêutico por causa do impacto operacional e reputacional que um ataque teria em informações e sistemas sensíveis, ou seja, uma dupla extorsão.
Com base em nossa análise e em dados de vazamento, verificamos que eles fizeram 145 vítimas no segmento entre maio de 2020 e novembro de 2022. Foram vários casos de programas afiliados de ransomware fazendo vítimas no setor, como parte de operações de infecção, criptografia e extorsão.
Além do desafio persistente dos agentes de ransomware, outros com mais recursos e sofisticação visam o setor com objetivos financeiros. Isso inclui incidentes envolvendo agentes da Coreia do Norte que atacaram organizações desde 2021.
O comprometimento de e-mail comercial é uma preocupação que envolve outros agentes de ameaças com motivações financeiras. Em outubro de 2020, analisamos uma campanha de phishing prolongada que foi vista pela primeira vez em junho de 2020. Ela envolvia o que parecia ser um anexo do Excel, mas era na realidade um arquivo HTM que hospedava uma página de phishing para coletar credenciais. A distribuição foi generalizada, mas as caixas de correio visadas eram de natureza financeira assim como as iscas do conteúdo de e-mail de phishing.
As organizações do setor farmacêutico devem estar cientes de exposições intencionais ou não, diretas ou indiretas, de seus dados. Insiders mal-intencionados representam uma ameaça.
Mercados clandestinos também prosperam no ecossistema de cibercrime, e agentes de ameaças podem explorar livremente bancos de dados expostos, atuar na compra e venda de credenciais e acessos, medicamentos, pesquisas e outros itens relacionados à indústria farmacêutica.
Embora não tenhamos observado uma tendência nos ataques hacktivistas ao setor farmacêutico nos últimos anos, as organizações devem estar cientes de possíveis motivações por trás desses agentes. As instalações de pesquisa médica e as empresas farmacêuticas periodicamente podem chamar a atenção de cibercriminosos que não acreditam na linha ou no método de pesquisa adotado por elas – por exemplo, o uso de testes em animais. O foco dos ataques pode ser o roubo de contas de mídias sociais, defacement de sites, ataques de negação de serviço (DoS) ou outras atividades perturbadoras, como obtenção e vazamento de e-mails comerciais.
Essa categoria é motivada por ideologias políticas, econômicas ou religiosas, além de executar tarefas em ataques apoiados por nações. Como muitas empresas farmacêuticas usam tecnologia anterior à internet, elas podem permanecer na mira dos ataques, já que seus equipamentos foram originalmente projetados como sistemas isolados, e não construídos para enfrentar agentes altamente motivados e com infraestrutura robusta. Para as empresas farmacêuticas, qualquer ataque dessa natureza pode resultar em perda de produtividade e disponibilidade de dispositivos físicos e operações.
Vários agentes de ameaças visaram o setor farmacêutico nos últimos anos com diferentes métodos, motivações e alvos em diferentes países.
Com o avanço da crise sanitária provocada pela covid-19, o setor passou a ser alvo de uma pressão crescente e com alta repercussão na mídia. Cibercriminosos voltaram sua atenção para empresas farmacêuticas, aproveitando ataques oportunistas para roubar dados confidenciais e propriedade intelectual. Enquanto isso, agentes envolvidos com espionagem intensificaram suas campanhas, visando à obtenção de informações privilegiadas sobre pesquisa e desenvolvimento de vacinas.
Saber quais agentes de ameaças são relevantes para um determinado setor é um passo importante para direcionar estrategicamente o investimento em controles de defesa apropriados. Entender como as ameaças caminham pela infraestrutura de sua organização pode ajudar a identificar os gaps existentes em seus controles de segurança.