.
Enzo Biochem resolveu uma ação coletiva consolidada relacionada ao incidente de ransomware de 2023 por US$ 7,5 milhões.
O acordo foi alcançado em 13 de janeiro e divulgado por meio de um Formulário 8-K junto à Securities and Exchange Commission (SEC) dois dias depois.
Além da taxa de liquidação, o acordo determinava que Enzo fizesse “certas atualizações em seus sistemas de proteção de dados” – os detalhes não foram especificados. Essas medidas, informou à SEC, já haviam sido concluídas.
A empresa de ciências biológicas, que desenvolve ferramentas de pesquisa e diagnóstico, também teve de desembolsar US$ 4,5 milhões a três procuradores-gerais estaduais há apenas cinco meses, relacionados ao mesmo ataque de abril de 2023.
A procuradora-geral de Nova York, Letitia James, liderou a investigação sobre as práticas de segurança da empresa, encontrando várias falhas que levaram ao comprometimento dos dados de 2,47 milhões de pessoas.
A higiene das credenciais de Enzo era um ponto particularmente preocupante. A investigação do escritório de James sobre o ataque [PDF] revelou que credenciais genuínas da empresa foram usadas para fazer a intrusão inicial, e essas credenciais foram compartilhadas entre cinco funcionários.
Uma das credenciais não era atualizada há dez anos. Enzo também não exigia autenticação multifator (MFA), seus processos para criptografar dados em repouso foram considerados ineficazes e descobriu-se que ele adotou uma abordagem “informal” para avaliar o risco de TI, entre outras descobertas.
“A realização de exames de sangue ou exames médicos não deve resultar no roubo de informações pessoais e de saúde dos pacientes por cibercriminosos”, disse o procurador-geral na época.
“Empresas de saúde como a Enzo, que não priorizam a segurança dos dados, colocam os pacientes em sério risco de fraude e roubo de identidade. A segurança dos dados faz parte da segurança do paciente, e meu escritório continuará a responsabilizar as empresas quando elas não conseguirem proteger os nova-iorquinos.”
A empresa sediada em Nova Iorque respondeu ao ataque em 2023 fazendo grandes investimentos em segurança, financiando uma extensa remodelação de 15 pontos da sua função cibernética.
Uma revisão da autenticação foi executada, introduzindo MFA e requisitos de complexidade de senha mais rigorosos. Também pagou por um sistema de detecção e resposta de endpoint (EDR) e um centro de operações de segurança (SOC) gerenciado 24 horas por dia, 7 dias por semana, entre outras coisas. A adoção da lendária “Confiança Zero” também ajudou a resolver o caso.
O ataque nunca foi reivindicado por um grupo de ransomware conhecido. O relatório de James confirmou que os sistemas de Enzo estavam criptografados, mas não esclareceu se o resgate foi pago.
O relatório revelou ainda que os invasores exfiltraram aproximadamente 1,4 TB dos dados de Enzo. Os tipos de dados potencialmente acessados ou roubados incluíam nomes, datas de nascimento, endereços residenciais, números de telefone, tratamento médico e informações de diagnóstico, informações de exames clínicos e números de previdência social.
A intrusão começou em 4 de abril. O firewall da empresa bloqueou inúmeras conexões maliciosas, mas não notificou a equipe porque não havia sistemas dedicados a monitorar ou alertar as pessoas relevantes sobre atividades suspeitas na rede.
Enzo levou dois dias para perceber que havia sido comprometido, somente depois que os invasores roubaram os dados dos pacientes e implantaram uma carga útil de criptografia, afirmou o relatório de James.
O preço das ações da empresa caiu após o ataque e agora é negociado a US$ 0,70 por ação – o valor mais baixo desde 1991.
A Enzo Biochem foi uma das muitas empresas médicas atingidas por ataques cibernéticos de roubo de dados na mesma época. Empresas como Zoll, Independent Living Systems, NextGen Healthcare e PharMerica experimentaram eventos semelhantes durante a primavera de 2023 e todas estão sediadas no hemisfério norte, embora não haja nenhuma sugestão de que os ataques estejam ligados. ®
.
