CEVIU Logo
Voltar

235.000 Afetados por Ciberataque em Maior Provedor de Ambulâncias de Wisconsin

Aprofundamento CEVIU

Aprofundamento

A Bell Ambulance, maior provedor de serviços de ambulância de Wisconsin, sofreu uma violação de dados em 13 de fevereiro de 2025, com confirmação final dos impactos em 20 de fevereiro de 2026. Foram comprometidos dados de 237.830 pessoas, não 235.000 ou 238.000 como divulgado inicialmente, incluindo números de Social Security (SSN), datas de nascimento, números de carteira de motorista, informações financeiras e registros médicos e de seguro. A gangue Medusa reivindicou o ataque em março de 2025, exigiu US$ 400.000 por 219 GB a 220 GB de dados e vazou os arquivos, indicando que o resgate não foi pago. Novas notificações foram enviadas em 9 de março de 2026 após revisão completa dos logs e sistemas.

Em maio de 2026, a empresa fechou um acordo de ação coletiva de US$ 2 milhões. O pagamento em dinheiro estimado é de cerca de US$ 90 para quem não comprovou prejuízo direto; já quem documentou perdas pode receber até US$ 5.000. O prazo para requerer indenização termina em 29 de junho de 2026. A Medusa, operando como ransomware-as-a-service (RaaS) desde 2022/2023, tem mais de 300 vítimas confirmadas até fevereiro de 2025 e intensificou ataques em 2026, incluindo ao University of Mississippi Medical Center e ao condado de Passaic, NJ.

Por que isso importa

Esse caso mostra como setores críticos fora do radar tradicional de cibersegurança, como transporte médico, são alvos prioritários. A Bell Ambulance não era uma instituição de saúde propriamente dita, mas lidava com dados clínicos e financeiros sensíveis em escala, sem as mesmas camadas de proteção de hospitais. A dupla extorsão da Medusa (criptografia + vazamento) se tornou padrão, e sua capacidade de avançar do acesso inicial à exfiltração em menos de 24 horas revela falhas estruturais em detecção e resposta. O fato de o FBI, CISA e MS-ISAC terem emitido um alerta conjunto em março de 2025 reforça que esse não é um incidente isolado, mas parte de uma onda coordenada contra infraestrutura crítica nos EUA.

Impacto para desenvolvedores

Para desenvolvedores e equipes de segurança, o ataque à Bell Ambulance evidencia três pontos técnicos concretos: primeiro, a exploração frequente de vulnerabilidades conhecidas em sistemas legados de gestão de frotas e CRM médicos, muitos ainda rodando em Windows Server 2012 ou sem atualizações críticas. Segundo, a ausência de segmentação de rede permitiu que os invasores migrassem de servidores administrativos para bancos de dados clínicos. Terceiro, a falta de monitoramento contínuo de exfiltração (como detecção de transferências anômalas de >200 GB em janelas curtas) deixou a intrusão ativa por dias antes da detecção. Não há evidência de uso de zero-day: os vetores apontados pela Microsoft envolvem RDP exposto e credenciais fracas.

Perguntas frequentes

Quantas pessoas foram afetadas no ciberataque à Bell Ambulance?

Foram comprometidos dados de 237.830 indivíduos, conforme confirmado na revisão final concluída em 20 de fevereiro de 2026. Esse número substitui as primeiras estimativas de 235.000 ou 238.000 divulgadas em abril de 2025.

O que é a gangue Medusa e por que ela é perigosa?

A Medusa é uma gangue de ransomware que opera como serviço (RaaS) desde 2022/2023. Usa dupla extorsão (criptografia + vazamento de dados) e já atacou mais de 300 organizações, incluindo saúde, educação e governo. Em 2026, reivindicou novos ataques ao University of Mississippi Medical Center e ao condado de Passaic. O FBI e a CISA alertaram sobre sua capacidade de concluir o ciclo de ataque em menos de 24 horas.

Quando acaba o prazo para entrar na ação coletiva da Bell Ambulance?

O prazo para apresentar uma reivindicação na ação coletiva encerra em 29 de junho de 2026. Os beneficiários podem receber pagamento em dinheiro (cerca de US$ 90 para casos sem perda documentada) ou até US$ 5.000 com comprovação de dano, além de dois anos de monitoramento de crédito.

A Bell Ambulance pagou o resgate exigido pela Medusa?

Não há confirmação de pagamento. A Medusa vazou os dados roubados em março de 2025, prática típica quando o resgate não é quitado. O acordo de US$ 2 milhões firmado em maio de 2026 também indica que a empresa optou por resolver judicialmente em vez de negociar com os criminosos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
12 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser