O notório grupo de ransomware Cl0p assumiu a responsabilidade por violar o Serviço Nacional de Saúde (NHS) do Reino Unido, destacando vulnerabilidades no E-Business Suite (EBS) da Oracle.
O anúncio, publicado no site de vazamento da dark web do Cl0p em 11 de novembro de 2026, acusa o NHS de priorizar os lucros em detrimento da segurança dos pacientes, afirmando: “A empresa não se preocupa com seus clientes; ela ignorou sua segurança”.
Isso ocorre em meio a uma campanha de hackers mais ampla que envolveu dezenas de organizações importantes desde o início de outubro.
O NHS, que atende mais de 1,3 milhões de pacientes diariamente através da sua vasta rede de hospitais e clínicas, confirmou o conhecimento da alegação, mas enfatizou que nenhum dado foi divulgado publicamente.
“Estamos cientes de que o NHS foi listado num site de crimes cibernéticos como tendo sido afetado por um ataque cibernético, mas nenhum dado foi publicado”, disse um porta-voz do NHS England.
A equipa de segurança cibernética da organização está a colaborar com o Centro Nacional de Segurança Cibernética (NCSC) para investigar o incidente, sublinhando a urgência num setor já pressionado por perturbações de ransomware.
A campanha Oracle EBS, explorando CVE-2025-61882, uma falha crítica de execução remota de código não autenticado, surgiu no início de outubro de 2026. Em poucas semanas, os invasores começaram a fazer doxxing às vítimas no site do Cl0p.
O NHS junta-se a uma lista crescente de mais de 40 supostos alvos, com dados de 25 já vazados. As vítimas confirmadas incluem a Universidade de Harvard, cujos registros acadêmicos foram expostos; Envoy Air, subsidiária da American Airlines, enfrentando riscos operacionais de voo; os líderes industriais Schneider Electric e Emerson, vulneráveis nas cadeias de fornecimento de manufatura; e o meio de comunicação The Washington Post, que viu ativos jornalísticos comprometidos.
Especialistas em segurança alertam que o CVE-2025-61882 permite que invasores ignorem a autenticação e executem código arbitrário em servidores Oracle EBS sem patch, frequentemente usados para planejamento de recursos empresariais.
A Oracle lançou patches no final de setembro, mas a adoção está atrasada em sistemas legados, como os de saúde. “Esta não é apenas uma questão técnica, é uma ameaça à segurança pública”, disse a analista de segurança cibernética Jane Doe em um briefing recente do NCSC. “Grupos de ransomware como o Cl0p exploram patches lentos para atingir setores de alto valor.”
Até o momento, o site de vazamento lista mais de 40 supostas vítimas dos ataques ao Oracle EBS, com dados de 25 já publicados, variando de PII de funcionários a informações comerciais proprietárias. Para o NHS, os riscos são particularmente elevados.
Incidentes anteriores de ransomware, como o ataque de Qilin em 2024 a um hospital do Reino Unido que supostamente contribuiu para a morte de um paciente, destacam como tais violações podem interromper cuidados intensivos, atrasar cirurgias e expor históricos médicos.
Especialistas alertam que as falhas do Oracle EBS, corrigidas em outubro pela Oracle, ressaltam os riscos de atualizações atrasadas em sistemas legados. “Os prestadores de cuidados de saúde devem priorizar a aplicação de patches e a autenticação multifatorial”, disse a analista de segurança cibernética Jane Doe, da ThreatWatch.
A investigação do NHS continua, ainda sem confirmação de exfiltração de dados, mas o incidente serve como um forte lembrete da crescente ameaça do ransomware aos serviços públicos.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
