Prontuários indisponíveis. Exames inacessíveis. Agendas suspensas. Laudos represados. Cirurgias adiadas. A cadeia clínica inteira depende de sistemas que, hoje, estão permanentemente na mira do cibercrime organizado.
O setor de saúde se consolidou como um dos alvos mais lucrativos do ransomware no Brasil – e não por acaso.
Ele reúne exatamente os três elementos que o atacante busca: urgência operacional, dados altamente valiosos e pressão reputacional. Entre os vetores mais explorados estão ataques a prontuários eletrônicos, sistemas de imagem médica, dispositivos IoMT, fornecedores de software e infraestruturas em nuvem sem governança adequada.
É nessa interseção entre risco digital e continuidade assistencial que a DANRESA atua como núcleo avançado de OSINT e Threat Intelligence, estruturando uma visão que vai além do monitoramento técnico tradicional. A análise conecta táticas de ataque, falhas recorrentes, movimentações de grupos de ransomware e obrigações regulatórias impostas pela LGPD, ANPD e ANS, transformando sinais dispersos em inteligência acionável.
A digitalização avançou e a superfície de ataque cresceu ainda mais
O ecossistema de saúde suplementar e diagnósticos movimenta cerca de R$ 980 bilhões, representando aproximadamente 10% do PIB nacional, segundo o Nic.br. Nos últimos anos, esse crescimento é acompanhado por digitalização intensa: a visualização de prontuários eletrônicos mais que dobrou entre 2022 e 2024, o agendamento de consultas online cresceu de 13% para 24% e a telemedicina apresentou crescimento de 172%, alcançando cerca de 30 milhões de atendimentos, de acordo com Be3 Health Tech.
Em 2025, o setor se tornou o principal alvo de ransomware no país. Estimativas indicam que até 75% das organizações de saúde podem enfrentar algum tipo de ataque ao longo do ano. O custo médio por incidente ultrapassa R$ 11 milhões — o mais alto entre todos os segmentos econômicos.
Hoje, clínicas e hospitais operam sobre uma arquitetura que combina:
- Sistemas de gestão clínica e financeira;
- Integrações com operadoras;
- Infraestruturas híbridas e multi-cloud;
- Dispositivos IoMT conectados;
- Fluxos intensivos de imagem médica via DICOM e PACS.
Para clínicas de oftalmologia, o cenário é ainda mais sensível. A dependência de diagnósticos por imagem de alta resolução, a integração de dispositivos médicos conectados e a centralidade de fluxos DICOM tornam a operação altamente interdependente. Um único ponto vulnerável pode comprometer toda a cadeia assistencial.
O valor dos dados clínicos no mercado clandestino
Registros de saúde são avaliados em aproximadamente US$ 160 por registro no mercado clandestino, valor superior ao de dados financeiros tradicionais, segundo DeepStrike. O diferencial está na possibilidade de fraude prolongada, manipulação sensível de informações médicas e extorsão direcionada.
Para clínicas de médio porte, o impacto mais severo não está apenas no pagamento de resgate, mas na paralisação operacional, na perda de confiança pública e nas sanções regulatórias aplicadas pela ANPD.
Um fator emergente em 2025 é o uso de Shadow AI. Cerca de 20% das organizações analisadas registraram violações associadas a ferramentas de IA não governadas, adicionando em média US$ 670 mil ao custo total do incidente. A adoção desestruturada de inteligência artificial amplia a superfície de ataque de forma silenciosa.
Grupos de ameaça e a avolução do ransomware
O cenário atual é dominado por grupos altamente organizados que operam sob o modelo de Ransomware-as-a-Service (RaaS). Grupos como Qilin, Akira e Cl0p foram responsáveis por cerca de 2.200 vítimas confirmadas globalmente no ano. Entre os grupos mais ativos em 2025 se destacam:
– Qilin: responsável por mais de 900 vítimas globais, com ataques agressivos, roubo massivo de dados e dupla extorsão estruturada.
– Akira: foco em exfiltração estratégica e pressão reputacional.
– Cl0p: exploração de vulnerabilidades zero-day, especialmente em cadeias de suprimentos.
– RansomHub: modelo altamente lucrativo, permitindo que afiliados retenham até 90% do resgate.
– KillSec: grupo com atuação relevante no Brasil, incluindo ataques direcionados a fornecedores do setor de saúde.
Uma tendência crítica é o crescimento da extorsão sem criptografia. Em 2025, esse modelo já representa cerca de 12% dos ataques no setor de saúde, triplicando em relação ao ano anterior. Nesse formato, o atacante não bloqueia sistemas – apenas exfiltra dados e ameaça divulgá-los.
Implementações sem criptografia robusta ou autenticação forte ampliam o risco de vazamento de exames e dados sensíveis. Um único dispositivo vulnerável pode servir como ponto de entrada para movimentação lateral na rede.
Cadeia de suprimentos: o risco invisível na saúde
Em 2025, o grupo KillSec atacou uma fornecedora brasileira de software de gestão para clínicas e laboratórios. O incidente resultou no vazamento de mais de 34 GB de dados, envolvendo 94.818 arquivos sensíveis, incluindo exames, imagens médicas e prontuários de menores.
A causa raiz foi a exposição de dados em buckets AWS S3 mal configurados. O ponto crítico não foi uma falha direta das clínicas clientes. Foi uma vulnerabilidade na cadeia de suprimentos.
Esse episódio evidencia um risco estrutural: a maturidade interna de segurança não é suficiente quando há dependência de fornecedores SaaS, ambientes em nuvem e integrações terceirizadas sem governança contínua.
IoMT, DICOM e o risco na Oftalmologia
Clínicas de oftalmologia operam um parque tecnológico intensivo, com retinógrafos, tomógrafos de coerência óptica (OCT) e sistemas de laser conectados à rede corporativa. Esses dispositivos compõem a Internet das Coisas Médicas (IoMT), cuja taxa de exposição é crítica.
Estudos indicam que até 99% dos hospitais apresentam vulnerabilidades relacionadas a IoMT. Muitos desses dispositivos não foram concebidos com segurança como premissa central.
O protocolo DICOM, padrão para imagens médicas, frequentemente é implementado sem criptografia robusta ou autenticação forte. Incidentes anteriores demonstram que uma única estação DICOM desprotegida pode permitir o vazamento de milhões de registros.
Um dispositivo vulnerável pode servir como ponto de entrada para movimentação lateral na rede, comprometendo sistemas críticos.
A transição para Next Generation SOC
O modelo reativo não sustenta o cenário atual. A evolução é a consolidação de operações baseadas em Next Generation SOC, combinando:
- Monitoramento contínuo;
- Automação e orquestração (SOAR);
- Análise comportamental (UEBA);
- Princípios de Zero Trust;
- Microsegmentação;
- Visibilidade sobre IoMT e integrações críticas.
Reduzir o tempo entre detecção e contenção é o fator que diferencia um incidente controlado de uma crise institucional. Na saúde, minutos não são métricas técnicas. São impacto assistencial.
Cibersegurança é a continuidade assistencial
Diante desse cenário, a atuação da DANRESA vai além do monitoramento técnico tradicional.
A empresa opera como núcleo avançado de OSINT e Threat Intelligence, correlacionando:
- Movimentações de grupos criminosos;
- Tendências de ransomware no setor de saúde;
- Vazamentos públicos e campanhas ativas;
- Padrões recorrentes de exploração;
- Evolução regulatória e exigências da ANPD e ANS.
Isso significa apoiar decisões estratégicas antes que o incidente aconteça. Significa orientar investimentos com base em evidências reais de ameaça, estruturar governança de fornecedores, priorizar controles críticos e preparar planos de resposta alinhados à realidade de 2025 – e às exigências de 2026.
Para clínicas e hospitais que desejam operar de forma resiliente em 2026, cibersegurança não é projeto paralelo. É estratégia central.
Últimos Posts
Engenharia social como vetor de acesso inicial: como o NGSOC atua na detecção e resposta
Leia mais »
0 comentário