O Brasil se consolidou, em 2026, como o epicentro do ransomware na América Latina no setor de saúde, concentrando 51% das ocorrências regionais e figurando entre os três maiores alvos globais. Os dados são da edição de maio de 2026 do Elytron Threat Pulse, relatório desenvolvido pela Elytron Cybersecurity, referência em inteligência digital, segurança cibernética e gestão estratégica de riscos.
CONTEÚDO RELACIONADO – Mercado global de saúde digital pode ultrapassar US$ 2,4 trilhões até 2034
Para elaborar o levantamento, a Elytron consolidou informações de fontes públicas e privadas de inteligência, incluindo comunicados oficiais, notícias, registros de incidentes, monitoramento de portais da deep e dark web, dados do relatório State of Ransomware, da BlackFog, e ocorrências identificadas pela própria Elytron em ambientes de clientes, tratadas de forma anonimizada e agregada. Como referência quantitativa global, foram consideradas 2.424 ocorrências de ransomware registradas no primeiro trimestre de 2026, sendo 264 ataques divulgados publicamente e 2.160 ocorrências identificadas em portais de vazamento e outras fontes de inteligência. O número corresponde a incidentes monitorados, e não necessariamente a empresas únicas.
O levantamento mostra que a tática dos ataques mudou. Em 96% dos incidentes monitorados, os criminosos primeiro copiaram dados sensíveis das vítimas e só depois criptografaram os sistemas. Com isso, o ransomware deixou de ser apenas uma ameaça de paralisação operacional. Mesmo quando a empresa consegue restaurar seus sistemas por backup, ainda enfrenta o risco de ter informações sigilosas vendidas, publicadas ou usadas como instrumento de pressão.
“Quando o dado é roubado antes da criptografia, o backup imutável já não resolve o problema sozinho. A empresa pode até restaurar seus sistemas, mas a informação já saiu do ambiente”, afirma Diogo Navarro, especialista em Cyber Threat Intelligence da Elytron e responsável pelo report. Para ele, a defesa precisa evoluir para uma arquitetura baseada em detecção comportamental, monitoramento de tráfego de saída, proteção de dados sensíveis e resposta integrada à crise.
No setor de saúde, essa mudança é especialmente crítica. Operadoras, hospitais, laboratórios, fornecedores de tecnologia médica e indústrias farmacêuticas lidam com dados altamente sensíveis que não podem ser simplesmente trocados ou cancelados depois de vazados, como prontuários, exames, históricos clínicos, dados genéticos e propriedade intelectual. Diferentemente de senhas ou credenciais financeiras, esses ativos acompanham pacientes e organizações por anos, o que amplia seu valor em fóruns e mercados clandestinos.
O report também aponta uma aceleração de 250% da extorsão cibernética na América Latina, impulsionada por ambientes legados, alta dependência operacional e fragilidades estruturais na cadeia de suprimentos. No Brasil, a saúde aparece entre os dez setores mais afetados, com 10,4% das vítimas. Além disso, provedores de serviços e empresas de tecnologia somam 34% dos ataques no país, o que amplia a exposição indireta do setor quando esses fornecedores mantêm conexões com hospitais, laboratórios, operadoras e demais organizações do ecossistema.
O cenário brasileiro também revela forte concentração em grupos específicos. Lockbit5 e The Gentlemen aparecem empatados na liderança entre os grupos mais ativos no país em 2026, com 13 vítimas cada. O The Gentlemen, em particular, ganhou relevância por sua atuação contra saúde, indústria farmacêutica e medicina diagnóstica, incluindo os casos da Greenpharma e do Laboratório Santa Luzia, ambos no Brasil, listados em abril no portal de vazamentos do grupo.
Na avaliação de Navarro, o The Gentlemen combina maturidade técnica com ausência de restrições setoriais. “O grupo preocupa pela capacidade de abusar de drivers legítimos assinados, escalar privilégios em nível de kernel e desabilitar soluções de endpoint antes do impacto final”, explica. O especialista também destaca o uso de payloads com execução manual por senha, mecanismo que dificulta a detonação automática em sandboxes e atrasa a geração de indicadores de comprometimento.
A cadeia de suprimentos é outro ponto de atenção. O relatório aponta que fornecedores terceirizados, laboratórios, plataformas de gestão, MSPs e fabricantes de equipamentos conectados podem operar como portas de entrada para ataques de dupla extorsão. “Laboratórios, fornecedores de equipamentos de imagem e sistemas de billing mantêm acessos permanentes às redes hospitalares, muitas vezes sem MFA e sem monitoramento ativo”, observa Navarro.
Diante desse ambiente, a Elytron recomenda priorizar segmentação entre redes administrativas e clínicas, contenção de movimento lateral, engenharia de detecção em SIEM/XDR, gestão rigorosa de risco de terceiros e monitoramento contínuo da deep e dark web para identificar vazamentos de credenciais, menções à marca e ameaças direcionadas ao setor. “A disrupção do atendimento hospitalar agora concorre com o vazamento de dados sensíveis; a extorsão na saúde tornou-se dupla e cirúrgica”, resume Navarro.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn, X e WhatsApp
