O nosso time de pesquisa e investigação, Axur Research Team, confirmou nesta semana a publicação de 2,8 terabytes de dados atribuídos à Unimed RS em fóruns da dark web, em um episódio reivindicado pelo grupo de ransomware Sarcoma.
O caso começou em 5 de outubro, quando a Unimed Rio Grande do Sul identificou um ataque cibernético a seus sistemas. Em nota divulgada no dia seguinte, a cooperativa informou ter ativado imediatamente seus protocolos de segurança e comunicação às autoridades competentes. Houve indisponibilidade temporária dos canais virtuais, restabelecida ainda no mesmo dia, sem impacto assistencial.
Dez dias depois, em 15 de outubro, o grupo Sarcoma reivindicou publicamente a autoria do ataque, alegando ter extraído 2,8 TB de dados, entre bancos SQL e imagens de documentos de identidade. A divulgação ocorreu via Hackmanac, perfil conhecido por acompanhar movimentos de cibercrime.
De acordo com a investigação do Axur Research Team, os dados foram efetivamente postados na dark web em 28 de outubro de 2025.
O download foi concluído em 31 de outubro, revelando que o material foi disponibilizado em 27 partes compactadas, cada uma com cerca de 100 GB.
A análise preliminar aponta que o conteúdo inclui bancos de dados SQL, documentos de identidade e arquivos internos (gravações de reuniões), o que exigiu a coleta dessas informações do sistema local da vítima.
Dados vazados pelo grupo Sarcoma incluem gravações de reuniões e documentos de identidade.
O Sarcoma é conhecido por empregar a estratégia de “double extortion”, ou extorsão dupla, combinando criptografia de dados com a ameaça de vazamento público para pressionar o pagamento de resgates em criptomoedas. Essa abordagem se tornou uma das principais armas de grupos de ransomware voltados a setores críticos, como saúde, educação e governo.
|
Adversário |
Grupo de Ransomware Sarcoma. |
|
Vítima |
Unimed RS (Instituição do setor de saúde). |
|
Infraestrutura |
Execução bem-sucedida de ataque de ransomware. Possibilidade de criptografia de dados e exfiltração de 2,8 terabytes. Tática de extorsão e vazamento (double extortion). |
|
Capacidades |
Meios de pagamento: Exigência de pagamentos via criptomoedas. Infraestrutura de vazamento: Utilização de plataformas para postagem dos dados para download. |
Ataques desse tipo contra instituições médicas vêm crescendo globalmente, impulsionados pelo valor e sensibilidade das informações armazenadas. Prontuários eletrônicos, registros financeiros e dados de pacientes formam um ativo valioso para grupos de extorsão digital. Incidentes envolvendo hospitais e operadoras de planos de saúde têm se tornado pontos críticos na agenda de cibersegurança.
O caso da Unimed reforça a importância de fontes independentes de inteligência cibernética na verificação de vazamentos e análise de TTPs (táticas, técnicas e procedimentos) empregados por grupos de ransomware.
Acesse o boletim gerado pela solução de Cyber Threat Intelligence para coletar as TTPs aqui.
Para acompanhar atualizações sobre este e outros incidentes, acompanhe o blog da Axur. Clientes Axur têm acesso ao relatório completo, com a análise detalhada deste ataque e do grupo Sarcoma.