Os prestadores de cuidados de saúde dependem de trocas ininterruptas de ficheiros que, muitas vezes, contêm PHI (informações de saúde protegidas). Esses ficheiros podem ir desde resultados de testes e imagens médicas a dados de faturação ou relatórios de fornecedores, e a sua circulação entre parceiros e locais é vital para os cuidados dos doentes. Mas são também alvos atractivos para os atacantes. O HIPAA Journal refere que, só em 2024, as violações dos cuidados de saúde expuseram mais de 237 milhões de registos de doentes, com incidentes como o ataque da Change Healthcare a afetar 190 milhões de indivíduos. Mais recentemente, as violações na Episource e na AMEOS mostraram como os ficheiros comprometidos e as ligações de parceiros podem propagar-se por redes inteiras.
Transferências de ficheiros como principal vetor de ataque
Para este prestador de cuidados de saúde europeu, milhares de transferências diárias passaram por partilhas SFTP e SMB envelhecidas com uma inspeção mínima. Os ficheiros eram encriptados em trânsito, mas raramente examinados à entrada, dependendo de uma única verificação antivírus que não conseguia detetar ataques avançados ou de dia zero. O resultado foi um ponto cego perigoso: dados confidenciais de pacientes e sistemas operacionais poderiam ser expostos até mesmo por um único arquivo malicioso de um parceiro confiável.
Para além dos carregamentos de parceiros externos, outra preocupação fundamental era o Sistema de Informação de Cuidados de Saúde (HCIS) do fornecedor. Grandes volumes de dados clínicos e operacionais tinham de ser transferidos diariamente para parceiros comerciais, mas estes fluxos também careciam de automatização e de controlos de segurança, o que os tornava vulneráveis aos mesmos riscos.
Os requisitos de conformidade com a HIPAA e o GDPR adicionaram outra camada de urgência: cada ficheiro malicioso não detectado representava não só um risco de segurança, mas também uma potencial falha regulamentar. O resultado foi um ambiente em que os fluxos de ficheiros eram considerados seguros por defeito, mas, na realidade, permaneciam expostos a ciberameaças avançadas. Esta lacuna expôs ao risco os registos dos pacientes, os dados financeiros e os sistemas operacionais críticos, sublinhando a necessidade urgente de uma inspeção mais profunda ao nível dos ficheiros.
Detetar o indetetável
Quando MetaDefender Managed File Transfer MFT)™ (MFT) foi introduzido durante uma avaliação técnica, o prestador de cuidados de saúde ligou-o às suas pastas SFTP e SMB existentes. Durante o processo de prova de conceito, MetaDefender Managed File Transfer MFT) iniciou automaticamente uma transferência segura de ficheiros e um fluxo de trabalho de inspeção dos ficheiros armazenados nas duas semanas anteriores.
O inesperado aconteceu quando o sistema chegou a um ficheiro carregado apenas no dia anterior. Rotulado como “Accounting_Report_Q1.doc” e enviado por um fornecedor confiável, o ficheiro já havia passado pelo antivírus da organização sem levantar suspeitas. No entanto, quando o ficheiro foi processado pelos fluxos de trabalho automatizados do MetaDefender Managed File Transfer MFT) e analisado na Sandbox integrada, sua verdadeira natureza maliciosa foi revelada.
Juntamente com a análise da caixa de areia, o Metascan™ Multiscanning, que é uma tecnologia OPSWAT que combina mais de 30 motores anti-malware numa única camada de segurança poderosa, verificou simultaneamente o ficheiro. Confirmou que não existiam assinaturas conhecidas, o que reforçou o veredito de que se tratava de um verdadeiro malware de dia zero.
As 3 etapas da investigação
1. Comportamento inicial
O documento parecia normal para o utilizador, mas o seu comportamento contava outra história.
- JavaScript ofuscado descodificou o código shell diretamente na memória
- Foi lançada uma cadeia de processos suspeitos: winword.exe → cmd.exe → powershell.exe (comando Base64)
- O ficheiro tentou estabelecer ligações HTTPS de saída para um IP invulgar
- Descarregou uma carga útil da segunda fase (zz.ps1)
- Tentou enumerar detalhes do sistema e escrever em diretórios temporários
2. Sinais de alerta ocultos
As análises estáticas tradicionais não detectaram tudo isto. Sem macros, sem assinaturas conhecidas e sem nada visivelmente malicioso na estrutura do ficheiro, a ameaça teria permanecido invisível. A análise adaptativa MetaDefender Sandbox™, no entanto, sinalizou bandeiras vermelhas claras:
- Padrões de injeção de DLL
- Processo de esvaziamento
- Comportamento de sinalização de comando e controlo
3. Veredicto e resposta
O veredito: um dropper poliglota de dia zero de alto risco.
MetaDefender Managed File Transfer MFT) colocou automaticamente o ficheiro em quarentena, bloqueou o tráfego de saída para o IP sinalizado e gerou um relatório completo da sandbox com IOCs (indicadores de comprometimento). Esses IOCs foram partilhados com o SOC (Centro de Operações de Segurança) para investigação adicional, e as políticas foram atualizadas para isolar ameaças semelhantes em transferências futuras.
Construir uma defesa mais forte
A descoberta revelou que ficheiros maliciosos estavam há dias nas pastas partilhadas sem serem detectados, o que representava um risco inaceitável num ambiente que lida com dados de pacientes. Com MetaDefender Managed File Transfer MFT) instalado, todas as transferências dos parceiros passaram a ser submetidas a uma inspeção em várias camadas:
MetaDefender Sandbox™
MetaDefender Sandbox™ utiliza o pipeline de análise de malware para executar e observar ficheiros suspeitos em tempo real, sinalizando malware de dia zero que contorna as defesas estáticas.
Metascan™ Multiscanning
O Metascan™ Multiscanning utiliza mais de 30 motores para detetar ameaças conhecidas e emergentes.
File-Based Vulnerability Assessment
Identifica falhas em instaladores, firmware e pacotes antes da execução.
Prevenção de surtos
Analisa continuamente os ficheiros armazenados e utiliza a mais recente base de dados de informações sobre ameaças para detetar e colocar em quarentena ficheiros suspeitos antes que se espalhem.
Ao mesmo tempo, MetaDefender Managed File Transfer MFT) centralizou todas as transferências de ficheiros num único sistema orientado por políticas. Todos os ficheiros, ações do utilizador e tarefas de transferência foram registados, criando trilhos de auditoria claros que agora apoiam ativamente a conformidade com a HIPAA e o RGPD. O RBAC (controlo de acesso baseado em funções) e o fluxo de trabalho de aprovação do supervisor limitaram quem poderia interagir com ficheiros confidenciais, enquanto a automação segura baseada em políticas reduziu a sobrecarga manual.
Impacto operacional e lições aprendidas
O alerta de dia zero serviu como um ponto de viragem. A verificação de um único motor legado foi substituída pela pilha Multiscanning do OPSWAT, a inspeção de sandbox tornou-se obrigatória para todas as transferências de ficheiros de terceiros e a prevenção de surtos foi activada por predefinição. As equipas de segurança ganharam visibilidade em todas as trocas, os responsáveis pela conformidade receberam registos auditáveis e os dados dos pacientes ficaram mais bem protegidos em todo o ecossistema.
Mais importante ainda, a organização aprendeu uma lição crítica: mesmo os parceiros bem intencionados podem entregar ficheiros perigosos sem o saberem. Ao incorporar o sandboxing e a inspeção profunda de ficheiros diretamente no fluxo de trabalho de transferência, o fornecedor passou de uma segurança reactiva para uma prevenção proactiva.
Proteger os fluxos de trabalho clínicos através de transferências Secure de ficheiros
Com MetaDefender Managed File Transfer MFT) e Sandbox formando a linha de defesa para transferências de ficheiros, o prestador de serviços de saúde está a avaliar como expandir o mesmo modelo de segurança em camadas para fluxos de trabalho adicionais, incluindo uploads na web e partilha de dados entre departamentos. O objetivo não é apenas manter o ritmo da conformidade, mas garantir que todos os ficheiros, independentemente da sua origem, sejam verificados, limpos e seguros antes de entrarem no ambiente clínico.
A solução não só reforçou a segurança das trocas de ficheiros, como também permitiu ao hospital automatizar o encaminhamento baseado em políticas de transferências seguras de ficheiros, assegurando que os dados sensíveis são transferidos de forma fiável e atempada.
Ao contrário das ferramentas antigas que apenas protegem o canal de transferência, OPSWAT protege tanto o ficheiro como o fluxo. Esta diferença revelou-se decisiva e é agora fundamental para a estratégia de cibersegurança a longo prazo do fornecedor.
Proteja os seus ficheiros antes que conteúdos maliciosos cheguem à sua rede. Entre em contacto com um especialista OPSWAT hoje mesmo.
