Предупреждение об атаке: nova нацелен на Atenção Primária à Saúde Brazil - BR
Introduction
Группа вирусов-вымогателей Nova взяла на себя ответственность за серьёзную утечку данных бразильской системы общественного здравоохранения, атаковав Atenção Primária à Saúde Brazil – критически важную инфраструктуру здравоохранения, управляющую медицинскими данными миллионов граждан. Эта кибератака, обнаруженная 4 декабря 2025 года, представляет серьёзную угрозу конфиденциальности медицинской информации и непрерывности предоставления услуг первичной медико-санитарной помощи в Бразилии. Инцидент, классифицированный как XC SIGNAL согласно нашему протоколу анализа, вызывает серьёзные опасения по поводу защиты конфиденциальных медицинских данных в государственных инфраструктурах Латинской Америки. В организации, подвергшейся атаке, работает более 10 000 человек, и она является ключевым элементом бразильской системы здравоохранения.
Данная утечка иллюстрирует тревожную тенденцию кибератак на учреждения общественного здравоохранения, которые особенно уязвимы ввиду критически важного характера предоставляемых ими услуг и высокой стоимости медицинской информации на чёрном рынке. Злоумышленник Nova, известный своей агрессивной моделью действий, продемонстрировал свою способность проникать в сложные государственные системы. Потенциальное воздействие выходит далеко за рамки простой кражи медицинских данных, напрямую влияя на доверие граждан Бразилии к своей цифровой системе здравоохранения и работоспособность критически важной инфраструктуры.
Analyse détaillée
nova: методы работы, история и жертвы группировки программ-вымогателей
nova — это киберпреступное сообщество, известное как стратегический ребрендинг RALord, действующее по особенно сложной модели «программы-вымогатели как услуга» (RaaS). Этот ребрендинг, наблюдавшийся недавно, в 2025 году, является частью общей тенденции среди злоумышленников, стремящихся уклониться от служб кибербезопасности и возобновить свою деятельность после освещения в СМИ или действий правоохранительных органов.
Модель RaaS, принятая nova, позволяет группировке предоставлять свою техническую инфраструктуру по франшизе сторонним аффилированным лицам, которые осуществляют атаки, в то время как основные разработчики предоставляют вредоносное ПО, платёжную инфраструктуру и техническую поддержку. Такой децентрализованный подход значительно усложняет атрибуцию и реагирование на инциденты, поскольку каждая атака может иметь разные тактические характеристики в зависимости от задействованного аффилированного лица. Прибыль обычно делится в соотношении 70/30 или 80/20, в пользу аффилированных лиц, принимающих на себя операционные риски.
Тактика, методы и процедуры Nova (TTP) основаны на наследии RALord и обычно включают начальные векторы атак посредством целевого фишинга, эксплуатации уязвимостей в интернет-сервисах и компрометации привилегированных учётных записей посредством подмены учётных данных. После получения первоначального доступа группа использует инструменты сетевой разведки, обеспечивает себе устойчивость через бэкдоры и систематически изымает конфиденциальные цифровые активы перед окончательным шифрованием.
→ Полный анализ группы Nova показывает, что пострадавшая организация присоединяется к растущему портфелю жертв в критически важных секторах, с ярко выраженной склонностью к публичной инфраструктуре и организациям, хранящим стратегически важные данные. Группировка использует тактику двойного вымогательства, сочетая системное шифрование с угрозой публикации украденной информации для максимального давления на жертв и повышения вероятности получения выкупа.
Atenção Primária à Saúde Brazil: Профиль компании в сфере здравоохранения (более 10 000 сотрудников) - BR
Atenção Primária à Saúde Brazil составляет основу бразильской системы первичной медико-санитарной помощи, представляя собой первую точку контакта между гражданами и национальной сетью общественного здравоохранения. Эта масштабная государственная инфраструктура насчитывает более 10 000 медицинских работников, администраторов и технического персонала по всей Бразилии, ежедневно предоставляя необходимые медицинские услуги миллионам бразильцев.
Организация работает в секторе здравоохранения, выполняя важнейшую миссию в области общественного здравоохранения, управляя значительными объемами конфиденциальных медицинских данных, включая истории болезни пациентов, истории болезни, информацию о лекарственных препаратах и эпидемиологические данные. Такое центральное положение в экосистеме здравоохранения Бразилии придает организации важное стратегическое значение не только для обеспечения непрерывности оказания медицинской помощи, но и для национального эпидемиологического надзора и планирования политики в области общественного здравоохранения.
Цифровая инфраструктура Atenção Primária à Saúde Brazil, расположенная в Бразилии и развернутая во всех 26 штатах и Федеральном округе, объединяет тысячи медицинских центров, общественных клиник и местных врачебных пунктов. Эта распределенная архитектура, будучи необходимой для обеспечения доступа к медицинской помощи в стране континентальных масштабов, также увеличивает потенциальную поверхность атаки и затрудняет последовательное внедрение надежных мер кибербезопасности.
Компрометация такой организации выходит далеко за рамки типичного инцидента кибербезопасности, напрямую влияя на суверенитет страны в сфере здравоохранения. Медицинская информация, управляемая этой инфраструктурой, представляет собой главную цель для киберпреступников как из-за ее рыночной стоимости на подпольных форумах, так и из-за ее потенциальной возможности использования в кампаниях по мошенничеству с персональными данными, вымогательстве или даже медицинском шпионаже. Потенциальный сбой в работе ставит под угрозу доступ к медицинской помощи для уязвимых групп населения и может поставить под угрозу важнейшие программы общественного здравоохранения.
Технический анализ: Уровень риска
Инцидент, затронувший Atenção Primária à Saúde Brazil, был классифицирован как XC SIGNAL в соответствии с нашим протоколом оценки XC-Classify, что является ранним предупреждением, требующим усиленного мониторинга, но без немедленного подтверждения масштабной утечки данных. Этот уровень, установленный в соответствии с критериями NIST (Национального института стандартов и технологий) в отношении конфиденциальности, целостности и доступности, предполагает, что злоумышленник взял на себя ответственность за взлом, не опубликовав немедленно существенные доказательства или значительные объемы похищенных файлов.
Точный характер потенциально уязвимых цифровых активов остается предметом углубленного анализа наших команд CTI. В контексте инфраструктуры первичной медицинской помощи такого масштаба данные, которые могли быть скомпрометированы, обычно включают электронные медицинские карты, содержащие идентификационные данные, диагнозы, рецепты и истории лечения миллионов пациентов. Сюда также потенциально входит конфиденциальная административная информация, данные о кадрах медицинского персонала, финансовая информация, связанная с возмещением расходов и управлением бюджетом, а также операционные данные, критически важные для ежедневного функционирования медицинских служб.
Первоначальный вектор атаки на данном этапе расследования публично не подтвержден. Однако наш анализ сертифицированных данных позволяет предположить вероятные сценарии, соответствующие типичным TTP от nova и уязвимостям, часто наблюдаемым в инфраструктурах общественного здравоохранения Бразилии. Гипотезы включают эксплуатацию неисправленных уязвимостей в устаревших системах управления медицинскими учреждениями, компрометацию привилегированных учетных записей посредством фишинговых кампаний, нацеленных на административный персонал, или проникновение через недостаточно защищенные службы протокола удаленного рабочего стола (RDP).
Точные сроки вторжения остаются неопределенными, как это часто бывает в сложных инцидентах, нацеленных на распределенные инфраструктуры. Публичное заявление от 4 декабря 2025 года, как правило, не отражает время первоначального доступа, который часто предшествует этапу шифрования и вымогательства на несколько недель или даже месяцев. Этот латентный период позволяет злоумышленникам обеспечить надежное присутствие, составить карту сетевой среды, идентифицировать ценные активы и методично извлекать данные, прежде чем обнаружить свое присутствие.
→ Уровень XC SIGNAL уделяет особое внимание аналогичным организациям в бразильском секторе здравоохранения, которым следует рассматривать это заявление как тревожный сигнал, требующий немедленного пересмотра своих мер безопасности и возможностей обнаружения вторжений.
Questions Fréquentes
When did the attack by nova on Atenção Primária à Saúde Brazil occur?
The attack occurred on December 4, 2025 and was claimed by nova. The incident can be tracked directly on the dedicated alert page for Atenção Primária à Saúde Brazil.
Who is the victim of nova?
The victim is Atenção Primária à Saúde Brazil and operates in the healthcare sector. The company is located in Brazil. You can search for Atenção Primária à Saúde Brazil's official website. To learn more about the nova threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Atenção Primária à Saúde Brazil?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Atenção Primária à Saúde Brazil has been claimed by nova but has not yet been confirmed by our community. Follow the progress of this alert.