攻击警报:nova 瞄准 Atenção Primária à Saúde Brazil - BR
Introduction
勒索软件组织Nova声称对巴西公共卫生系统遭受的重大攻击负责,此次攻击的目标是巴西初级卫生保健中心(Atenção Primária à Saúde Brazil)。该中心是巴西重要的医疗基础设施,负责管理数百万公民的医疗数据。此次网络攻击于2025年12月4日被发现,对巴西医疗信息的保密性和初级医疗服务的连续性构成了重大威胁。根据我们的分析协议,此次事件被评为XC SIGNAL级别,引发了人们对拉丁美洲公共基础设施中敏感医疗数据保护的严重担忧。该机构拥有超过1万名员工,是巴西医疗体系的关键支柱。
此次攻击凸显了针对公共卫生机构的网络攻击的令人担忧的趋势。由于其服务的关键性质以及医疗信息在黑市上的价值,这些机构尤其容易受到攻击。Nova恶意组织以其激进的行动模式而闻名,并已证明其有能力渗透复杂的政府系统。潜在影响远不止于简单的医疗文件泄露,它直接影响巴西公民对其数字医疗系统的信任以及关键基础设施的运行能力。
Analyse détaillée
nova:勒索软件组织的运作模式、历史和受害者
nova 是一个网络犯罪团伙,被认为是 RALord 的战略性品牌重塑,其运作模式采用了一种极其复杂的勒索软件即服务 (RaaS) 模式。这种品牌重塑最近出现在 2025 年,是恶意行为者试图逃避网络安全团队监管并在媒体曝光或执法行动后重振旗鼓的常见趋势之一。
nova 采用的 RaaS 模式允许该组织将其技术基础设施特许经营给第三方合作伙伴,由这些合作伙伴实施入侵,而核心开发人员则提供恶意软件、支付基础设施和技术支持。这种去中心化的方法极大地增加了归因和事件响应的难度,因为每次攻击都可能因参与的合作伙伴而异。利润通常按70/30或80/20的比例分配,这有利于承担运营风险的关联方。
Nova的策略、技术和程序(TTP)建立在RALord的模式之上,通常包括通过定向网络钓鱼建立初始攻击途径、利用互联网服务中的漏洞以及通过撞库攻击入侵特权账户。一旦获得初始访问权限,该组织就会部署网络侦察工具,通过后门建立持久性,并在最终加密之前系统性地窃取敏感数字资产。
→ Nova组织的完整分析显示,受影响实体加入了关键行业中不断增长的受害者行列,该组织尤其偏爱公共基础设施和持有高度战略数据的组织。该组织倾向于双重勒索策略,将系统加密与发布窃取信息的威胁相结合,以最大限度地向受害者施压,并提高支付赎金的可能性。
巴西初级卫生保健局:医疗保健公司简介(员工人数超过10,000人)- 巴西
巴西初级卫生保健局是巴西初级卫生保健体系的支柱,是公民与国家公共卫生网络的第一道防线。这一庞大的政府机构在巴西各地拥有超过10,000名医疗保健专业人员、管理人员和技术人员,每天为数百万巴西民众提供必要的医疗服务。
该机构在医疗保健领域承担着至关重要的公共卫生使命,管理着大量的敏感医疗数据,包括患者记录、治疗史、药品信息和流行病学数据。其在巴西医疗保健生态系统中的核心地位赋予了该机构重要的战略意义,不仅对保障医疗服务的连续性至关重要,而且对国家流行病学监测和公共卫生政策规划也至关重要。
总部位于巴西、覆盖全国26个州和联邦区的巴西初级卫生保健中心(Atenção Primária à Saúde Brazil)的数字基础设施连接着数千个卫生中心、社区诊所和地方医疗站。这种分布式架构对于确保巴西这样幅员辽阔的国家能够获得医疗服务至关重要,但也成倍增加了潜在的攻击面,并使持续有效地实施强有力的网络安全措施变得更加复杂。
此类机构一旦遭到入侵,其影响远超一般的网络安全事件,直接威胁到国家卫生主权。该基础设施管理的医疗信息是网络犯罪分子的主要目标,不仅因为其在地下论坛上的市场价值,还因为其可能被用于身份盗窃、敲诈勒索甚至医疗间谍活动。潜在的运营中断将威胁弱势群体获得医疗服务的权利,并可能危及重要的公共卫生项目。
技术分析:风险等级
根据我们的 XC-Classify 评估协议,影响巴西初级卫生保健机构 (Atenção Primária à Saúde Brazil) 的事件被评为 XC SIGNAL 级别,表明存在需要加强监控的早期预警,但尚未立即确认发生大规模数据泄露。该级别是根据 NIST 关于机密性、完整性和可用性的标准确定的,表明恶意行为者声称对此次泄露事件负责,但并未立即公布实质性证据或大量泄露文件。
我们的 CTI 团队仍在深入分析可能泄露的数字资产的具体性质。对于如此规模的初级卫生保健基础设施而言,可能泄露的数据通常包括包含数百万患者身份、诊断、处方和治疗史的电子健康记录。此外,还可能包括敏感的行政信息、医务人员的人力资源数据、与报销和预算管理相关的财务信息,以及对医疗服务日常运作至关重要的运营数据。
在调查的现阶段,尚未公开确认初始攻击途径。然而,我们对认证数据的分析表明,可能的攻击场景与nova的典型TTP(战术、技术和程序)以及巴西公共医疗基础设施中常见的漏洞相符。假设包括:利用过时医疗管理系统中未修补的漏洞;通过针对行政人员的网络钓鱼活动入侵特权账户;或通过安全性不足的远程桌面协议(RDP)服务进行渗透。
入侵的确切时间线仍然不确定,这在针对分布式基础设施的复杂事件中很常见。公开声明的日期为2025年12月4日,但这通常并不反映初始访问的时间,因为初始访问往往比加密和勒索阶段早几周甚至几个月。这段延迟期使得攻击者能够建立强大的持久性,绘制网络环境图,识别高价值资产,并在暴露自身存在之前有条不紊地窃取数据。
→ XC SIGNAL级别特别强调巴西医疗保健行业的类似机构,这些机构应将此声明视为警告信号,并立即审查其安全态势和入侵检测能力。
Questions Fréquentes
When did the attack by nova on Atenção Primária à Saúde Brazil occur?
The attack occurred on December 4, 2025 and was claimed by nova. The incident can be tracked directly on the dedicated alert page for Atenção Primária à Saúde Brazil.
Who is the victim of nova?
The victim is Atenção Primária à Saúde Brazil and operates in the healthcare sector. The company is located in Brazil. You can search for Atenção Primária à Saúde Brazil's official website. To learn more about the nova threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Atenção Primária à Saúde Brazil?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Atenção Primária à Saúde Brazil has been claimed by nova but has not yet been confirmed by our community. Follow the progress of this alert.