Cibercriminosos afirmam ter dados sigilosos do Ministério da Saúde e dão prazo para publicá-los.

O Ministério da Saúde apareceu neste domingo em uma lista de vítimas da dark web , onde os cibercriminosos afirmam ter informações sigilosas sobre os cidadãos e dão 11 dias antes de publicar os dados , que incluiriam registros de saúde provinciais.

O Clarín contatou o Ministério da Saúde, chefiado por Mario Lugones , que afirmou que "não houve invasões nos bancos de dados do Ministério".

De acordo com os invasores, conhecidos como Nova Ransomware , eles têm "informações altamente confidenciais de 2 milhões de pacientes em arquivos do Excel". Ransomware é um tipo de malware (vírus de computador) que criptografa informações para torná-las inacessíveis aos seus proprietários e exige um resgate monetário em troca.

Há uma segunda etapa da extorsão onde, se a vítima se recusar a pagar, eles passam a publicar as informações (como aconteceu com o PAMI em agosto de 2022 , durante a gestão do ex-presidente Alberto Fernández).

Essas gangues de cibercriminosos costumam enviar amostras para provar que acessaram os sistemas de suas vítimas. Neste caso, não há arquivos , "porque são informações muito privadas", mas eles enviaram um arquivo .txt com a estrutura de pastas que teriam, detalhando o conteúdo dos arquivos.

Com base nos nomes, tamanhos e datas dos arquivos incluídos nesta amostra, pode-se inferir que os invasores teriam acesso aos bancos de dados da campanha de vacinação e aos registros de saúde provinciais .

Arquivos referentes a diversos laboratórios (como Sinopharm, Sputnik, Moderna Pediatric, entre outros) sugerem a possível presença de informações sobre indivíduos vacinados (por exemplo, dados de identificação, datas de vacinação, lotes ou centros de saúde) e relatos de eventos adversos relacionados à vacinação (EAPV). Há inúmeras referências a registros da Província do Chaco . Por esses motivos, as informações comprometidas seriam altamente sensíveis.

O Ministério disse a este meio de comunicação que "se houver dados adicionais, como registros médicos, essas informações não estão disponíveis para o Ministério da Saúde".

Na lógica do ransomware , o ganho financeiro é o principal motivo. Os cibercriminosos realizam varreduras massivas na web em busca de vulnerabilidades comuns, tanto em sistemas desatualizados quanto em falhas recentes que ainda não foram corrigidas. Usando essas falhas de segurança, eles invadem, copiam informações e, em seguida, criptografam os sistemas para cobrar um resgate, geralmente em criptomoedas.

Existem grupos conhecidos em todo o mundo, como Black Cat , LockBit , RansomHub e Hunters International. Muitos deles sofreram ataques de autoridades policiais nos últimos dois anos. No entanto, o negócio de ransomware permanece inativo, à medida que as gangues se reagrupam e reutilizam programas para criptografar dados.

Os primeiros indícios de atividade do ransomware Nova datam do final de maio deste ano. "O Nova é um grupo de ransomware anteriormente conhecido como RALord, que criptografou com sucesso o Tomio Ingeniería na Argentina. Eles não usam IA em seu projeto, nem no site (devido aos notáveis ​​erros gramaticais e ortográficos em inglês) nem em seu produto (não há evidências que indiquem isso)", explicou ao Clarín Santiago Pérez, analista de segurança da BCA LTD , a empresa de segurança cibernética que detectou e alertou sobre a ameaça .

Outros grupos do setor estão aplicando inteligência artificial. "Isso é importante para diferenciá-los de outros players emergentes ou maiores que o fazem para quase todos os seus produtos, como FunkSec (Ransomware) ou Venom (Drainer)", acrescentou.

"Eles também operam um esquema RaaS e vendem a variante de ransomware por um único pagamento de dois mil dólares", acrescentou. RaaS, ou Ransomware como Serviço , é um modelo em que um grupo de programadores projeta o malware e o disponibiliza para uso por terceiros, em troca de uma parte dos lucros caso a extorsão seja bem-sucedida. Em julho deste ano, a Nova alegou ter obtido acesso à infraestrutura de órgãos de justiça colombianos.

Agustín Merlo, um analista independente de malware, descobriu que os cibercriminosos compartilharam credenciais de login internamente em vários sites argentinos, o que, dada a data da publicação, poderia ser o login inicial.

“Detectei que, em um dos sites da dark web gerenciados pela Nova, foi publicada uma publicação contendo um arquivo sobre 'logins diários' para 'trabalho'. Trata-se de um arquivo .zip com várias combolists, que são listas contendo nomes de usuário e senhas vazados. Essa lista inclui credenciais de vários sites oficiais argentinos. Não posso confirmar se estão funcionais, mas, com base na data e na forma como são processadas, parecem ser as usadas pelos cibercriminosos.”

Essas senhas geralmente são obtidas por meio de infostealers , um tipo de malware que rouba informações normalmente armazenadas em navegadores (Google Chrome, Safari, Edge) e tem como alvo senhas. Se o sistema do computador não tiver autenticação de dois fatores, invasores podem facilmente obter acesso.

Neste caso, fontes com acesso às informações garantiram a este veículo que não criptografaram as informações , mas apenas copiaram os dados sem criptografá-los. Isso reflete uma mudança no modelo de negócios de ransomware detectada no último ano: uma transição da extorsão por meio da criptografia para a simples "captura" de dados para implementar o segundo estágio da extorsão.

“Estamos observando uma mudança de ataques focados em criptografia para a exfiltração de dados e a exposição pública como o principal método de extorsão. Essa mudança reflete tanto o pragmatismo operacional quanto a evolução dos padrões de resposta das vítimas”, afirmou a Check Point Research em um relatório sobre o estado do ransomware no segundo trimestre de 2025.

Um relatório da Microsoft Threat Intelligence revela dados críticos sobre a vulnerabilidade do setor de saúde a ransomware, revelando que o setor de saúde está entre os dez mais atacados desde o segundo trimestre de 2024, com essa posição predominando nos últimos quatro trimestres.

Os custos financeiros são impressionantes: organizações de saúde perdem em média US$ 4,4 milhões e, somente no ano fiscal de 2024, um total de 389 instituições de saúde nos Estados Unidos foram vítimas de ataques de ransomware, de acordo com o Relatório de Defesa Digital da Microsoft de 2024.

Na Argentina, inúmeros casos podem ser citados nos últimos anos: o PAMI teve 1,6 milhão de arquivos de membros vazados, e o Hospital Garrahan foi vítima de um ataque cibernético. O setor privado não é exceção: os centros Rossi, Stamboulian e Hidalgo foram hackeados no final do ano passado, e a seguradora de saúde pré-paga OSDE sofreu um vazamento de 140 GB de dados em 2022, incluindo registros médicos de pacientes.

De acordo com um relatório da Resilience , os setores mais atacados são saúde, varejo e indústria, com incidentes que ultrapassam US$ 1 milhão por sinistro (a propósito, é raro que esse valor seja cobrado). Além disso, durante o primeiro semestre de 2025, o custo médio de um ataque aumentou 17%.

De acordo com o relatório, os invasores estão usando táticas mais sofisticadas do que há alguns anos, que vão desde engenharia social com inteligência artificial, dupla extorsão e roubo de apólices de seguro para exigir resgates mais altos, demonstrando que os criminosos cibernéticos têm pressões diferentes sobre suas vítimas.

No caso do Ministério da Saúde, falta pouco mais de uma semana para a informação ser publicada na dark web.