# Setor de Saúde Hospitais, operadoras de saúde e laboratórios são alvos críticos para ransomware - dados de pacientes têm alto valor e a pressão para restaurar sistemas em ambiente hospitalar é máxima. Em 2025, o setor registrou **636 ataques de ransomware globalmente**, com o [[qilin|Qilin]] como grupo mais ativo, e perdas por downtime de até **US$900.000 por dia** em instituições afetadas. ## Panorama de Ameaças > [!info] Atualização - Março 2026 > **Atualização março 2026:** Ransomware continua como principal ameaça ao setor de saúde em LATAM. Grupos como Qilin e RansomHub visam diretamente operações hospitalares. O SUS (Sistema Único de Saúde do Brasil) torna-se alvo de alto valor por centralizar dados de 200M+ cidadãos. Espionagem estatal visa dados médicos sensíveis. Credenciais fracas e vulnerabilidades em VPN permanecem vetores consistentes de ataque. O ransomware permanece a ameaça dominante ao setor de saúde globalmente. Em 2025, 445 ataques atingiram hospitais e provedores diretos de cuidados (+2% vs 2024) e 191 ataques miraram empresas do ecossistema de saúde - farmacêuticas, provedores de billing e empresas de tecnologia médica (+25% vs 2024). O total do setor foi **636 ataques** ao longo de 2025 (Comparitech). No Brasil, em novembro de 2025, **saúde foi o setor mais atacado** do país, seguido de governo e educação (Check Point Research, dez/2025). A LATAM registrou **2.703 ataques semanais por organização** no setor de saúde em 2024, crescimento de 34% (Check Point Research). Os grupos mais ativos em 2025 contra provedores de saúde: [[qilin|Qilin]] (66 ataques), INC (45), SafePay (29), Sinobi (24) e Medusa (18). Para empresas do ecossistema: Qilin (30), Akira (19), INC/KillSec (12 cada), [[cl0p|Cl0p]] (11). ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB SAUDE["Setor de Saude (Brasil)"] --> LOCK["LockBit 5.0<br/>Qilin"] SAUDE --> CLOP["Cl0p<br/>Akira / INC"] SAUDE --> RHYSIDA["Rhysida<br/>SafePay"] LOCK -->|"RDP / VPN<br/>sem MFA"| T1133["T1133: External<br/>Remote Services"] CLOP -->|"SQLi em plataformas<br/>de transferencia de arquivos"| T1190["T1190: Exploit App"] RHYSIDA -->|"Phishing contra<br/>profissionais de saude"| T1566["T1566: Phishing"] T1133 --> IMP["Criptografia de<br/>Sistemas Criticos"] T1190 --> IMP2["Exfiltração de<br/>Dados de Pacientes"] T1566 --> IMP IMP --> EXT["Extorsao / Dupla Extorsao<br/>media US$615K"] IMP2 --> EXT ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Ransomware em hospitais e clínicas | 🟥 Crítico | [[qilin\|Qilin]], [[lockbit\|LockBit]] 5.0, INC, SafePay, Medusa | | Ransomware em empresas do ecossistema | 🟧 Alto | [[qilin\|Qilin]], [[g1024-akira\|Akira]], [[cl0p\|Cl0p]], KillSec | | Exfiltração de dados de pacientes | 🟧 Alto | Dupla extorsão: roubo + criptografia | | Ataques a supply chain de saúde | 🟧 Alto | Via provedores de billing, tecnologia médica | ## TTPs Frequentes - [[t1133-external-remote-services|T1133 - External Remote Services]] - acesso via RDP e VPNs sem MFA; vetor dominante em hospitais públicos - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - portais de telemedicina, agendamento, plataformas MFT de exames - [[t1566-phishing|T1566 - Phishing]] - engenharia social contra profissionais de saúde imitando MS, ANS, planos de saúde - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia com demanda de resgaté; média US$615K em 2025 - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais roubadas de funcionários de saúde vendidas por IABs ## Incidentes Recentes (2024-2025) - **Complexo Hospitalar de São Bernardo do Campo (dez/2025)** - ataque reivindicado pelo LockBit 5.0; ameaça de públicação de dados de pacientes - **Instituição de ensino-saúde no Espírito Santo (2025)** - listada pelo grupo Rhysida no leak site; alerta SOCRadar - **Hospitais públicos brasileiros (2024)** - múltiplos incidentes com interrupção de sistemas de prontuário eletrônico e agendamento - **Episource LLC (EUA, 2025)** - maior brecha do setor; 5,4 milhões de registros comprometidos - **Setor de saúde LATAM (2024)** - 2.703 ataques semanais/org (+34% YoY); média LATAM 34% acima da média global (Check Point) ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Total de ataques ransomware ao setor global | 636 (445 provedores + 191 negócios) | Comparitech 2026 | | Crescimento ataques a negócios de saúde | +25% vs 2024 | Comparitech 2026 | | Demanda média de resgaté (provedores) | US$615.000 (-84% vs 2024) | Comparitech 2026 | | Registros expostos em 2025 | 10,1M (provedores) + 6,4M (negócios) | Comparitech 2026 | | Ataques semanais/org - LATAM (saúde) | 2.703 (+34% YoY) | Check Point set/2024 | | Custo de downtime por ransomware | US$900.000/dia | Akamai 2025 | | Brasil como setor mais atacado (nov/2025) | 1o lugar nacional | Check Point dez/2025 | ## Contexto Brasil/LATAM O Brasil possui um dos maiores sistemas de saúde do mundo - público (SUS) e privado. A digitalização pós-pandemia com prontuários eletrônicos e telemedicina ampliou a superfície de ataque. Dados de saúde são **dados sensíveis pela LGPD** com proteção especial, tornando incidentes especialmente custosos em termos regulatórios. A **falta de investimento em segurança cibernética** em hospitais públicos é documentada: muitos operam com RDP exposto sem MFA, sistemas de gestão sem patches críticos e sem segmentação de rede adequada. Provedores de TI para o setor de saúde tornaram-se vetor preferêncial de entrada em 2025 - ransomware em IT providers causou exfiltração de dados de pacientes de múltiplas instituições (Cipher x63, dez/2025). ## Regulação Aplicavel - [[lgpd|LGPD]] - dados de saúde são dados sensíveis; incidentes exigem notificação à ANPD - **Resolução CFM 2.314/2022** - regulamentação do prontuário eletrônico - **RDC ANVISA 204/2017** - requisitos de segurança para sistemas de informação na saúde - **ANS** - regulação de operadoras de planos de saúde ## Referências - Comparitech: Healthcare Ransomware Roundup 2025 (ján/2026) - Check Point Research: Healthcare Sector Threat Landscape (set/2024; dez/2025) - Akamai Technologies: Healthcare Ransomware Risk LATAM (ján/2025) - Cipher x63 Unit: Brazilian Critical Infrastructure Threat Landscape (dez/2025) - Health-ISAC: Brazilian Critical Infrastructure Threat Landscape (mai/2025)