Angriffwarnung: nova zielt auf Atenção Primária à Saúde Brazil - BR
Introduction
Die Ransomware-Gruppe Nova hat sich zu einem schwerwiegenden Angriff auf das brasilianische Gesundheitssystem bekannt. Ziel des Angriffs war die Atenção Primária à Saúde Brazil (APSB), eine kritische Infrastruktur im Gesundheitswesen, die die medizinischen Daten von Millionen Bürgern verwaltet. Dieser Cyberangriff, der am 4. Dezember 2025 entdeckt wurde, stellt eine erhebliche Bedrohung für die Vertraulichkeit von Gesundheitsinformationen und die Kontinuität der Primärversorgung in Brasilien dar. Der Vorfall, der gemäß unserem Analyseprotokoll als XC-Signal klassifiziert wurde, gibt Anlass zu ernsten Bedenken hinsichtlich des Schutzes sensibler medizinischer Daten in öffentlichen Infrastrukturen Lateinamerikas. Die betroffene Organisation beschäftigt über 10.000 Mitarbeiter und ist eine tragende Säule des brasilianischen Gesundheitssystems.
Dieser Angriff verdeutlicht den alarmierenden Trend von Cyberangriffen auf öffentliche Gesundheitseinrichtungen, die aufgrund der kritischen Natur ihrer Dienstleistungen und des Wertes medizinischer Daten auf dem Schwarzmarkt besonders gefährdet sind. Die für ihre aggressive Vorgehensweise bekannte Gruppe Nova hat ihre Fähigkeit unter Beweis gestellt, in komplexe Regierungssysteme einzudringen. Die potenziellen Auswirkungen reichen weit über den einfachen Diebstahl medizinischer Daten hinaus und beeinträchtigen unmittelbar das Vertrauen der brasilianischen Bevölkerung in ihr digitales Gesundheitssystem sowie die Funktionsfähigkeit einer kritischen Infrastruktur.
Analyse détaillée
nova: Vorgehensweise, Geschichte und Opfer der Ransomware-Gruppe
nova ist ein Cyberkriminellen-Kollektiv, das als strategische Umbenennung von RALord identifiziert wurde und nach einem besonders ausgeklügelten Ransomware-as-a-Service-Modell (RaaS) operiert. Diese Umbenennung, die kürzlich im Jahr 2025 beobachtet wurde, ist Teil eines gängigen Trends unter Cyberkriminellen, die versuchen, Cybersicherheitsteams zu umgehen und ihre Aktivitäten nach medialer Berichterstattung oder polizeilichen Maßnahmen wieder aufzunehmen.
Das von nova angewandte RaaS-Modell ermöglicht es der Gruppe, ihre technische Infrastruktur an Drittpartner zu vergeben, die die Angriffe durchführen, während die Kernentwickler die Schadsoftware, die Zahlungsinfrastruktur und den technischen Support bereitstellen. Dieser dezentrale Ansatz erschwert die Zuordnung von Angriffen und die Reaktion auf Vorfälle erheblich, da jeder Angriff je nach beteiligtem Partner unterschiedliche taktische Merkmale aufweisen kann. Die Gewinne werden üblicherweise im Verhältnis 70/30 oder 80/20 aufgeteilt, wobei Partner, die operative Risiken tragen, bevorzugt werden.
Die Taktiken, Techniken und Verfahren (TTPs) von Nova bauen auf den Erfahrungen von RALord auf und umfassen typischerweise erste Angriffsvektoren durch gezieltes Phishing, Ausnutzung von Schwachstellen in öffentlich zugänglichen Diensten und Kompromittierung privilegierter Konten mittels Credential Stuffing. Sobald der anfängliche Zugriff hergestellt ist, setzt die Gruppe Netzwerkaufklärungswerkzeuge ein, etabliert Persistenz durch Hintertüren und exfiltriert systematisch sensible digitale Daten vor der endgültigen Verschlüsselung.
→ Die vollständige Analyse der Nova-Gruppe zeigt, dass sich das betroffene Unternehmen in ein wachsendes Portfolio von Opfern in kritischen Sektoren einreiht, mit einer deutlichen Vorliebe für öffentliche Infrastrukturen und Organisationen mit hochstrategischen Daten. Die Gruppe bevorzugt eine doppelte Erpressungstaktik, indem sie Systemverschlüsselung mit der Drohung der Veröffentlichung gestohlener Informationen kombiniert, um den Druck auf die Opfer zu maximieren und die Wahrscheinlichkeit von Lösegeldzahlungen zu erhöhen.
Atenção Primária à Saúde Brazil: Unternehmensprofil des brasilianischen Gesundheitsunternehmens (über 10.000 Mitarbeiter) - BR
Atenção Primária à Saúde Brazil bildet das Rückgrat des brasilianischen Primärversorgungssystems und ist die erste Anlaufstelle für Bürgerinnen und Bürger im nationalen öffentlichen Gesundheitsnetzwerk. Diese umfangreiche staatliche Infrastruktur beschäftigt über 10.000 medizinische Fachkräfte, Verwaltungsangestellte und technisches Personal in ganz Brasilien und erbringt täglich lebenswichtige medizinische Leistungen für Millionen von Brasilianern.
Die Organisation ist im Gesundheitssektor tätig und erfüllt eine wichtige Aufgabe im Bereich der öffentlichen Gesundheit. Sie verwaltet große Mengen sensibler medizinischer Daten, darunter Patientenakten, Behandlungsverläufe, Arzneimittelinformationen und epidemiologische Daten. Diese zentrale Stellung innerhalb des brasilianischen Gesundheitssystems verleiht der Einrichtung große strategische Bedeutung, nicht nur für die Kontinuität der Versorgung, sondern auch für die nationale epidemiologische Überwachung und die Planung der öffentlichen Gesundheitspolitik.
Die in Brasilien ansässige und in allen 26 Bundesstaaten sowie dem Bundesdistrikt vertretene Atenção Primária à Saúde Brazil (APS) vernetzt mit ihrer digitalen Infrastruktur Tausende von Gesundheitszentren, Gemeindekliniken und lokalen medizinischen Einrichtungen. Diese verteilte Architektur ist zwar unerlässlich, um die Gesundheitsversorgung in einem Land von kontinentalen Ausmaßen zu gewährleisten, vervielfacht aber gleichzeitig die potenzielle Angriffsfläche und erschwert die konsequente Umsetzung robuster Cybersicherheitsmaßnahmen.
Die Kompromittierung einer solchen Organisation geht weit über einen typischen Cybersicherheitsvorfall hinaus und beeinträchtigt unmittelbar die nationale Gesundheitshoheit. Die von dieser Infrastruktur verwalteten medizinischen Daten stellen ein Hauptziel für Cyberkriminelle dar – sowohl aufgrund ihres Marktwerts in Untergrundforen als auch aufgrund ihres Potenzials zur Ausnutzung in Kampagnen für Identitätsdiebstahl, Erpressung oder sogar Gesundheitsspionage. Die drohende Betriebsunterbrechung gefährdet den Zugang zur Gesundheitsversorgung für vulnerable Bevölkerungsgruppen und könnte wichtige öffentliche Gesundheitsprogramme gefährden.
Technische Analyse: Gefährdungsgrad
Der Vorfall bei Atenção Primária à Saúde Brazil wurde gemäß unserem XC-Classify-Bewertungsprotokoll als XC-SIGNAL eingestuft. Dies bedeutet eine Frühwarnung, die eine verstärkte Überwachung erfordert, jedoch keine sofortige Bestätigung eines massiven Datenlecks. Dieser nach den NIST-Kriterien für Vertraulichkeit, Integrität und Verfügbarkeit festgelegte Grad deutet darauf hin, dass der Angreifer die Verantwortung für die Kompromittierung übernommen hat, ohne jedoch sofort substanzielle Beweise oder signifikante Mengen exfiltrierter Dateien zu veröffentlichen.
Die genaue Art der potenziell betroffenen digitalen Assets wird derzeit von unseren CTI-Teams eingehend analysiert. Im Kontext einer primären Gesundheitsinfrastruktur dieser Größenordnung umfassen die möglicherweise kompromittierten Daten typischerweise elektronische Patientenakten mit den Identitäten, Diagnosen, Verschreibungen und Behandlungsverläufen von Millionen von Patienten. Dazu gehören potenziell auch sensible administrative Informationen, Personaldaten des medizinischen Personals, Finanzinformationen im Zusammenhang mit Kostenerstattungen und Budgetverwaltung sowie operative Daten, die für den täglichen Betrieb der Gesundheitsdienste unerlässlich sind.
Der ursprüngliche Angriffsvektor wurde zum jetzigen Zeitpunkt der Untersuchung noch nicht öffentlich bestätigt. Unsere Analyse der zertifizierten Daten deutet jedoch auf wahrscheinliche Szenarien hin, die mit typischen TTPs (Taktiken, Techniken und Verfahren) von Nova und häufig in brasilianischen öffentlichen Gesundheitsinfrastrukturen beobachteten Schwachstellen übereinstimmen. Zu den Hypothesen gehören die Ausnutzung ungepatchter Schwachstellen in veralteten medizinischen Managementsystemen, die Kompromittierung privilegierter Konten durch Phishing-Kampagnen gegen Verwaltungspersonal oder das Eindringen über unzureichend gesicherte Remote-Desktop-Protokoll-Dienste (RDP).
Der genaue Zeitpunkt des Eindringens bleibt unklar, wie es häufig bei komplexen Vorfällen mit verteilten Infrastrukturen der Fall ist. Die öffentliche Behauptung vom 4. Dezember 2025 spiegelt in der Regel nicht den Zeitpunkt des ersten Zugriffs wider, der der Verschlüsselungs- und Erpressungsphase oft um mehrere Wochen oder sogar Monate vorausgeht. Diese Latenzzeit ermöglicht es Angreifern, sich dauerhaft im Netzwerk zu etablieren, die Netzwerkumgebung zu kartieren, wertvolle Daten zu identifizieren und systematisch Daten zu exfiltrieren, bevor sie ihre Anwesenheit preisgeben.
→ Die XC-SIGNAL-Einstufung legt besonderen Wert auf vergleichbare Organisationen im brasilianischen Gesundheitswesen. Diese sollten die Meldung als Warnsignal verstehen und ihre Sicherheitslage sowie ihre Fähigkeiten zur Erkennung von Eindringversuchen umgehend überprüfen.
Questions Fréquentes
When did the attack by nova on Atenção Primária à Saúde Brazil occur?
The attack occurred on December 4, 2025 and was claimed by nova. The incident can be tracked directly on the dedicated alert page for Atenção Primária à Saúde Brazil.
Who is the victim of nova?
The victim is Atenção Primária à Saúde Brazil and operates in the healthcare sector. The company is located in Brazil. You can search for Atenção Primária à Saúde Brazil's official website. To learn more about the nova threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Atenção Primária à Saúde Brazil?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Atenção Primária à Saúde Brazil has been claimed by nova but has not yet been confirmed by our community. Follow the progress of this alert.