Os incidentes de ransomware direcionados a organizações de saúde atingiram o maior total trimestral do ano nos últimos três meses de 2025, com 190 ataques registrados contra o setor de saúde, de acordo com novas informações sobre ameaças relatório pela Saúde-ISAC.
O relatório, que analisou as tendências de segurança cibernética no setor de saúde, descobriu que o número total de incidentes cibernéticos em todos os setores aumentou para 8.903 em 2025, um aumento de 55% em relação aos 5.744 incidentes registrados em 2024. Os incidentes específicos do setor de saúde aumentaram 21% ano após ano, de 476 em 2024 para 575 em 2025.
Duas vulnerabilidades significativas dominaram as ameaças durante o trimestre, levando a Health-ISAC a emitir 183 alertas direcionados para organizações membros com infraestrutura potencialmente exposta.
A primeira envolveu o Ivanti Endpoint Manager, onde um comunicado de segurança de dezembro revelou uma vulnerabilidade crítica e três vulnerabilidades de alta gravidade que poderiam permitir que invasores não autenticados obtivessem controle administrativo total sobre os consoles de gerenciamento e quaisquer dispositivos que gerenciassem. Health-ISAC trabalha com parceiros de inteligência da BlueVoyant para identificar e alertar organizações membros potencialmente vulneráveis.
A segunda grande vulnerabilidade afetou o Windows Server Update Services. A Microsoft lançou uma atualização de segurança fora de banda em outubro para resolver CVE-2025-59287, uma falha crítica de execução remota de código com uma pontuação CVSS de 9,8. A vulnerabilidade decorre do uso inseguro do .NET BinaryFormatter e permite que invasores não autenticados executem código arbitrário com privilégios de SYSTEM. A operação ativa começou poucas horas após a publicação da prova de conceito.
Bancos de dados abertos e abertos e ferramentas abertas de acesso remoto também aparecem com destaque entre os temas de alerta do trimestre.
Mercados subterrâneos comercializam acesso a redes de saúde
As ameaças continuaram a vender acesso a organizações de saúde através de fóruns clandestinos durante o trimestre. Um usuário identificado como RAZOR-X postou em um fórum de crimes cibernéticos em russo em novembro, alegando estar vendendo acesso inicial a redes nos EUA, Canadá, Reino Unido, Austrália e União Europeia, incluindo duas empresas de saúde.
A primeira meta foi descrita como US$ 11 milhões em receita anual, com acesso por meio de uma VPN Fortinet que inclui direitos de administrador de domínio. A segunda entidade, com receita anual de US$ 25 milhões, ofereceu acesso VPN Fortinet semelhante com privilégios de usuário de domínio. O vendedor não listou os preços, em vez disso orientou as partes interessadas a contatá-los pessoalmente.
O relatório observa que os agentes de ameaças muitas vezes escondem as identidades das vítimas, ao mesmo tempo que fornecem receitas ou informações da indústria para mostrar o valor dos dados que estão a ser leiloados. O pagamento geralmente é exigido em criptomoeda, com transações às vezes facilitadas pelos administradores do fórum.
Leve embora
- Aplique patches imediatamente ao Ivanti Endpoint Manager e ao Windows Server Update Services, especialmente se um dos sistemas estiver exposto à Internet.
- Revise as configurações e os controles de acesso da Fortinet VPN, pois os agentes de ameaças estão vendendo ativamente o acesso à rede obtido por meio desses sistemas.
- Implemente a autenticação multifator para todas as contas, especialmente aquelas com recursos de acesso remoto.
- Mantenha backups off-line regulares de dados críticos e teste os procedimentos de recuperação para garantir que a recuperação seja possível sem pagar resgate.
- Implemente soluções de detecção e resposta de endpoint e monitore indicadores de comprometimento relacionados ao ransomware Akira, incluindo uso incomum de PsExec e atividade incomum de RDP.
- Implemente a segmentação de rede para isolar sistemas críticos e evitar movimentos laterais de invasores.
- Conduza testes de penetração regulares e exercícios da equipe vermelha para identificar vulnerabilidades antes que as ameaças o façam.
- Compartilhe inteligência sobre ameaças com colegas do setor por meio de organizações como a Health-ISAC para fortalecer as defesas coletivas.
