El equipo de investigación de Axur, Axur Research Team, confirmó esta semana la publicación de 2,8 terabytes de datos atribuidos a Unimed RS en foros de la dark web, en un episodio reivindicado por el grupo de ransomware Sarcoma.

Cronología del incidente

El caso comenzó el 5 de octubre, cuando Unimed Rio Grande do Sul identificó un ataque cibernético a sus sistemas. En un comunicado divulgado al día siguiente, la cooperativa informó haber activado inmediatamente sus protocolos de seguridad y comunicación a las autoridades competentes. Hubo indisponibilidad temporal de los canales virtuales, restablecida el mismo día, sin impacto asistencial.

Diez días después, el 15 de octubre, el grupo Sarcoma reivindicó públicamente la autoría del ataque, alegando haber extraído 2,8 TB de datos, entre bases de datos SQL e imágenes de documentos de identidad. La divulgación ocurrió vía Hackmanac, perfil conocido por seguir movimientos de cibercrimen.

Datos expuestos en la dark web

Según la investigación del Axur Research Team, los datos fueron efectivamente publicados en la dark web el 28 de octubre de 2025.

La descarga se completó el 31 de octubre, revelando que el material fue disponibilizado en 27 partes comprimidas, cada una con cerca de 100 GB.

El análisis preliminar indica que el contenido incluye bases de datos SQL, documentos de identidad y archivos internos (grabaciones de reuniones), lo que exigió la recolección de estas informaciones del sistema local de la víctima.

Datos filtrados por el grupo Sarcoma incluyen grabaciones de reuniones y documentos de identidad.

Táctica de "doble extorsión" y patrones del grupo Sarcoma

Sarcoma es conocido por emplear la estrategia de "double extortion", o extorsión doble, combinando cifrado de datos con la amenaza de filtración pública para presionar el pago de rescates en criptomonedas. Este enfoque se ha convertido en una de las principales armas de grupos de ransomware dirigidos a sectores críticos, como salud, educación y gobierno.

Sector salud como objetivo de los ataques de ransomware

Ataques de este tipo contra instituciones médicas vienen creciendo globalmente, impulsados por el valor y sensibilidad de las informaciones almacenadas. Historias clínicas electrónicas, registros financieros y datos de pacientes forman un activo valioso para grupos de extorsión digital. Incidentes que involucran hospitales y operadoras de planes de salud se han convertido en puntos críticos en la agenda de ciberseguridad.

Conclusión

El caso de Unimed refuerza la importancia de fuentes independientes de inteligencia cibernética en la verificación de filtraciones y análisis de TTPs (tácticas, técnicas y procedimientos) empleados por grupos de ransomware.

Acceda al boletín generado por la solución de Cyber Threat Intelligence para recopilar los TTPs aquí.

Para seguir actualizaciones sobre este y otros incidentes, siga el blog de Axur. Los clientes de Axur tienen acceso al informe completo, con el análisis detallado de este ataque y del grupo Sarcoma.