Um novo grupo de cibercriminosos sequestrou imagens íntimas e dados financeiros de pacientes de consultórios de cirurgia plástica do do Paraná e Rio Grande do Sul. Também publicou prontuários de uma clínica de saúde sexual masculina em Minas Gerais.
O Qiulong veio a público na sexta (19) em página na deep web, à qual a reportagem teve acesso, que segue no ar e foi atualizada pela última vez nesta quarta (24). A quadrilha já divulgou fotografias de pessoas nuas algumas incluem rosto. A publicação pede resgate para não espalhar os dados em espaços de amplo acesso, como as redes sociais.
Os criminosos dizem ter controle sobre 64 gigabytes de informações sensíveis originalmente armazenados por três consultórios. Tratam-se de fotos com nudez, dados pessoais, bancários, de pagamentos e contratuais, além de comunicações entre médico e paciente.
Os criminosos também dizem ter acesso a senhas dos médicos em diferentes serviços.
O vazamento foi identificado pela firma de cibersegurança ISH. "Ainda não temos mais detalhes sobre a operação dessa quadrilha, considerando que eles foram identificados recentemente."
Segundo a empresa, a saúde é o segundo setor mais visado no Brasil por ransomware sequestro de dados para pedido de resgate.
Procurada pela Folha de S.Paulo, a defesa do médico Lincoln Graça Neto afirmou que o sequestro de dados do consultório ocorreu em dezembro. Segundo a advogada Isabela Maria Stoco, o médico registrou boletim de ocorrência no dia 6 daquele mês e, desde então, um processo criminal corre em segredo de Justiça.
Stoco diz que as imagens de pessoas nuas divulgadas pelos criminosos não são de pacientes do médico paranaense.
Graça Neto decidiu não pagar o resgate para os criminosos, por considerar que o valor pedido em bitcoins, atualmente cotadas em R$ 334 mil por unidade, "era impraticável", disse Stoco à reportagem.
"Após o ransomware, o dr. Graça Neto procurou o responsável técnico pelo tratamento, buscou a Justiça, o CRM [Conselho Regional de Medicina] e fez todo o necessário para estar de acordo com a LGPD [Lei Geral de Proteção de Dados]", afirma Stoco.
Depois disso, o consultório teria conseguido recuperar acesso aos prontuários dos pacientes, segundo a advogada.
A extorsão ocorreu por meio de contas falsas no Instagram e de um e-mail de origem desconhecida, com hospedagem fora do país. "Isso dificulta apurar a autoria do crime", afirma Stoco.
Um dos consultórios vitimados pelo ataque virtual diz que as fotos publicadas não são de seus clientes, mas confirma que sofreu um ransomware - ataque virtual caracterizado pelo sequestro de dados. Um segundo também confirma um ataque, mas não quis comentar. Ambos dizem ter registrado boletim de ocorrência. Os outros dois não atenderam a reportagem.
"Dr., se você se importa com a privacidade dos seus pacientes, pare de dirigir seu Mustang como um negligente e deixe de ficar em silêncio", diz a mensagem de chantagem. O pedido de resgate cita a titulação do médico junto à Sociedade Brasileira de Cirurgia Plástica, Associação Médica Brasileira e Conselho Federal de Medicina.
Por determinação da LGPD, as empresas são obrigadas a divulgar se sofreram algum dano decorrente de uma invasão hacker se seus clientes ou funcionários tiveram dados vazados na internet e devem notificar a Autoridade Nacional de Proteção de Dados e as vítimas.
"A ausência de notificação adequada pode sim configurar uma infração à LGPD passível de penalização, além das medidas judiciais cabíveis pelos titulares que foram vítimas", diz o coordenador da Data Privacy Brasil Pedro Martins.
À reportagem, o consultório de William Segalin disse que não vai comentar o caso. Citou que registrou boletim de ocorrência, mas não deu detalhes.
O consultório de Andréa Rechia, sediado em Santa Maria, a 270 quilômetros de Porto Alegre, não retornou ao contato da reportagem por ligação e WhatsApp.
A Secretaria de Segurança Pública do Rio Grande do Sul disse que sempre recomenda o registro de boletim de ocorrência. A pasta afirmou que não conseguiria checar a existência do BO até a publicação desta reportagem.
Procurada por telefone e email, a clínica de saúde sexual Homini, de Belo Horizonte, não atendeu.
ATAQUES AO SETOR DE SAÚDE SÃO TENDÊNCIA GLOBAL, DIZ CONSULTORIA
Os pacientes podem buscar reparação judicial, caso consigam comprovar prejuízos relacionados ao vazamento de dados, conforme entendimento do STJ.
"O fato de os dados ainda estarem disponíveis na deep web é motivo adicional para que os titulares sejam comunicados o mais rápido possível, para que possam tomar medidas de segurança para prevenir danos maiores ainda no futuro próximo e buscar a ajuda de algum advogado, órgão publico ou organização da sociedade civil", afirma Martins.
Em nota, a Sociedade Brasileira de Cirurgia Plástica (SBCP) diz que orienta seus associados a adotar protocolos de segurança avançados e fazer backups frequentes. Realiza também educação contínua e campanhas para que os médicos se mantenham em conformidade com a Lei Geral de Proteção de Dados.
"A preservação da confidencialidade e da privacidade dos pacientes é de máxima prioridade para as entidades médicas para garantirem a integridade e a segurança dos dados", diz a entidade em nota.
Imagens íntimas e prontuários são considerados dados sensíveis pela LGPD e têm requisitos adicionais de segurança e prevenção, como o consentimento prévio do titular das informações.
Relatório da empresa de cibersegurança Sophos aponta que a preferência de cibercriminosos por empresas de saúde é uma tendência global. O setor concentrou 12% dos ransomwares no mundo, em 2023, segundo relatório.
Diferentemente do Qiulong, há grupos de cibercriminosos que se comprometem a não atacar empresas do setor da saúde, para seguir um código de ética.
De um lado, as pequenas e médias empresas, como são os casos dos consultórios, não costumam ter uma equipe de segurança dedicada, o que as tornam mais vulneráveis a ataques, de acordo com. De outro, esses negócios apresentem uma margem de lucro menor por ataque aos criminosos.