Hackers vazam imagens de pacientes de cirurgia plástica nus e prontuários de clínica de saúde sexual

Foto: Pixabay/ ilustrativa

Um novo grupo de cibercriminosos sequestrou imagens íntimas e dados financeiros de pacientes de consultórios de cirurgia plástica do Rio Grande do Sul e do Paraná. Também publicou prontuários de uma clínica de saúde sexual masculina em Minas Gerais.

O Qiulong veio a público na sexta (19) em página na deep web, à qual a reportagem teve acesso, que segue no ar e foi atualizada pela última vez nesta quarta (24). A quadrilha já divulgou fotografias de pessoas nuas -algumas incluem rosto. A publicação pede resgate para não espalhar os dados em espaços de amplo acesso, como as redes sociais.

Um dos consultórios vitimados pelo ataque virtual diz que as fotos publicadas não são de seus clientes, mas confirma que sofreu um ransomware -ataque virtual caracterizado pelo sequestro de dados. Um segundo também confirma um ataque, mas não quis comentar. Ambos dizem ter registrado boletim de ocorrência. Os outros dois não atenderam a reportagem.

"Dr., se você se importa com a privacidade dos seus pacientes, pare de dirigir seu Mustang como um negligente e deixe de ficar em silêncio", diz a mensagem de chantagem. O pedido de resgate cita a titulação do médico junto à Sociedade Brasileira de Cirurgia Plástica, Associação Médica Brasileira e Conselho Federal de Medicina.

Os criminosos dizem ter controle sobre 64 gigabytes de informações sensíveis originalmente armazenados por quatro consultórios. Tratam-se de fotos com nudez, dados pessoais, bancários, de pagamentos e contratuais, além de comunicações entre médico e paciente.

Os criminosos também dizem ter acesso a senhas dos médicos em diferentes serviços.

O vazamento foi identificado pela firma de cibersegurança ISH. "Ainda não temos mais detalhes sobre a operação dessa quadrilha, considerando que eles foram identificados recentemente."

Segundo a empresa, a saúde é o segundo setor mais visado no Brasil por ransomware -sequestro de dados para pedido de resgate.

Por determinação da LGPD, as empresas são obrigadas a divulgar se sofreram algum dano decorrente de uma invasão hacker se seus clientes ou funcionários tiveram dados vazados na internet e devem notificar a Autoridade Nacional de Proteção de Dados e as vítimas.

"A ausência de notificação adequada pode sim configurar uma infração à LGPD passível de penalização, além das medidas judiciais cabíveis pelos titulares que foram vítimas", diz o coordenador da Data Privacy Brasil Pedro Martins.

Procurada pela reportagem, a defesa do médico Lincoln Graça Neto afirmou que o sequestro de dados do consultório ocorreu em dezembro. Segundo a advogada Isabela Maria Stoco, o médico registrou boletim de ocorrência no dia 6 daquele mês e, desde então, um processo criminal corre em segredo de Justiça.

Stoco diz que as imagens de pessoas nuas divulgadas pelos criminosos não são de pacientes do médico paranaense.

Graça Neto decidiu não pagar o resgate para os criminosos, por considerar que o valor pedido em bitcoins, atualmente cotadas em R$ 334 mil por unidade, "era impraticável", disse Stoco à reportagem.

Após o ransomware, o dr. Graça Neto procurou o responsável técnico pelo tratamento, buscou a Justiça, o CRM [Conselho Regional de Medicina] e fez todo o necessário para estar de acordo com a LGPD [Lei Geral de Proteção de Dados]", afirma Stoco.

Depois disso, o consultório teria conseguido recuperar acesso aos prontuários dos pacientes, segundo a advogada.

A extorsão ocorreu por meio de contas falsas no Instagram e de um e-mail de origem desconhecida, com hospedagem fora do país. "Isso dificulta apurar a autoria do crime", afirma Stoco.

Relatório da empresa de cibersegurança Sophos aponta que a preferência de cibercriminosos por empresas de saúde é uma tendência global. O setor concentrou 12% dos ransomwares no mundo, em 2023, segundo relatório.

Diferentemente do Qiulong, há grupos de cibercriminosos que se comprometem a não atacar empresas do setor da saúde, para seguir um código de ética, já que a pane no sistema pode significar risco a vidas de pacientes. Ainda assim, há estelionatários que abusam dessa vulnerabilidade, justamente por haver maior chance de pagamento de resgate, de acordo com o diretor da empresa de cibersegurança Kaspersky, Fabio Assolini.

"É um setor muito regulamentado e as empresas têm de estar de acordo com as normas", diz. A Kaspersky detectou mais ataques de ransomware a empresas de saúde em 2024 do que em todo o ano passado.

Nos Estados Unidos, onde esse setor é o mais visado, o plano de saúde UnitedHealth Group pagou o resgate pelos dados de seus clientes após um ataque em fevereiro e continua a sofrer com as ameaças dos criminosos até hoje.

As pequenas e médias empresas, como são os casos dos consultórios, não costumam ter uma equipe de segurança dedicada, o que as tornam mais vulneráveis a ciberataques.

Por Betonews fonte: Bnews