Ransomware ataca centro de câncer da universidade do Havaí

Ransomware no centro de câncer da universidade do Havaí: Lições de uma brecha que ameaça a pesquisa e a privacidade

Em um dos setores mais sensíveis da infraestrutura institucional — pesquisa biomédica e saúde —, a ameaça dos ataques cibernéticos continua a crescer com severidade e impacto. No final de agosto de 2025, o Centro de Câncer da Universidade do Havaí foi alvo de um ataque de ransomware que resultou na infiltração, encriptação de dados e exfiltração de informações sensíveis, incluindo números de Seguro Social de participantes de estudos de pesquisa datados da década de 1990. A divulgação pública dessa campanha só ocorreu em dezembro de 2025, revelando desafios tanto técnicos quanto éticos, e levantando questões críticas sobre proteção de dados, governança e resposta a incidentes em instituições de pesquisa.

1. O que aconteceu: Linha do tempo e impacto técnico

A intrusão foi identificada pela equipe de TI da Universidade em 31 de agosto de 2025, quando sistemas de suporte à pesquisa no Centro de Câncer exibiam sinais típicos de um ataque de ransomware: arquivos criptografados, interrupção de processos internos e perda de acesso a dados de pesquisa. A universidade rapidamente isolou os sistemas afetados para conter a disseminação. Embora os serviços clínicos e o atendimento ao paciente não tenham sido interrompidos — uma distinção importante — a recuperação total enfrentou atrasos significativos devido à complexidade da encriptação e à necessidade de entender plenamente a extensão da violação.

Relatórios oficiais indicam que os sistemas comprometidos alojavam dados primariamente relacionados a um projeto de pesquisa sobre câncer. Inicialmente, pensava-se que o impacto se limitasse a estudos em andamento, mas análises subsequentes revelaram arquivos históricos contendo informações pessoalmente identificáveis, incluindo números de Seguro Social. A exfiltração desses dados representa uma ameaça de longo prazo à privacidade dos participantes.

2. Ransomware: Entendendo a natureza da ameaça

O ransomware é uma classe de malware que criptografa dados e sistemas com o propósito de forçar instituições a pagar um resgate em troca de uma chave de descriptografia. Além da encriptação, muitos grupos criminosos contemporâneos exfiltram dados antes de bloquear o acesso, usando o duplo mecanismo de extorsão: criptografia e ameaça de divulgação pública. No caso do ataque ao Centro de Câncer da Universidade do Havaí, a simples presença de números de Seguro Social e registros de pesquisa representa um valor significativo no mercado clandestino de dados, podendo desencadear fraudes contra participantes de estudos.

O modelo de ataque envolvendo criptografia de dados e demanda de pagamento não é novo, mas sua sofisticação evoluiu. Atualmente, variantes avançadas usam vetores como ataques de força bruta a credenciais, exploração de vulnerabilidades em serviços expostos à internet e campanhas de phishing altamente direcionadas, que enganam usuários a fornecerem credenciais ou executarem códigos maliciosos. Ao comprometer uma conta privilegiada, o atacante pode mover-se lateralmente pela rede e implantar o ransomware em servidores essenciais.

3. Gestão de dados legados e vulnerabilidades institucionais

Um dos fatores que agravam essa situação é a presença de dados legados — informações que não são regularmente acessadas ou mantidas, mas que continuam armazenadas em servidores de longo prazo. Arquivos com décadas de idade, ainda contendo identificadores pessoais, são frequentemente negligenciados em políticas de proteção de dados, tornando-se pontos críticos de falha. A gestão eficaz de dados deve considerar a classificação, eliminação segura e criptografia proativa de arquivos antigos para limitar o alcance de uma potencial violação.

Além disso, muitos ambientes de pesquisa universitária possuem infraestruturas híbridas, combinando sistemas legados com serviços modernos, o que cria uma superfície de ataque ampla e variada. A falta de inventário de ativos atualizado, segmentação de rede e controles de acesso robustos torna ainda mais difícil defender ambientes heterogêneos onde a colaboração interdisciplinar é comum.

4. Comunicação, transparência e obrigações legais

Um aspecto crítico deste incidente é o atraso na notificação às partes afetadas e aos órgãos reguladores. Enquanto as leis estaduais e federais nos Estados Unidos costumam exigir que instituições divulguem brechas de dados dentro de um prazo definido — muitas vezes em torno de 20 dias após a descoberta — a Universidade do Havaí só apresentou um relatório oficial ao Legislativo em dezembro, cerca de quatro meses após o ataque. Essa defasagem levanta sérias preocupações sobre a conformidade regulatória, transparência institucional e proteção ao participante de pesquisa.

A omissão de detalhes sobre o número exato de indivíduos afetados, a extensão da exfiltração de dados e a eventual decisão de negociar ou pagar um resgate amplia o debate sobre responsabilidade institucional. Profissionais de segurança frequentemente alertam que pagar resgate pode incentivar mais ataques e não garante que os dados exfiltrados sejam deletados pelos criminosos.

5. Medidas de resposta e fortalecimento da segurança

Após a contenção do incidente, a universidade adotou várias medidas de segurança: instalação de softwares de proteção de endpoint, restauração de sistemas comprometidos, redefinição de credenciais e fortalecimento de firewalls, além de auditorias conduzidas por consultores externos para revisar processos e controles de segurança existentes. Essas ações são fundamentais, mas representam apenas parte de uma estratégia abrangente de resiliência cibernética.

Especialistas em segurança defendem que instituições acadêmicas e de pesquisa adotem um conjunto de práticas que incluem:

• Segmentação de rede rigorosa, isolando sistemas críticos e limitando o movimento lateral;

• Backups offline e regulares, com testes frequentes de restauração;

• Treinamento contínuo em segurança da informação para pesquisadores e equipes administrativas, focado em phishing e engenharia social;

• Monitoramento contínuo e análise de comportamento, usando ferramentas EDR e SIEM para detectar atividades anômalas rapidamente;

• Políticas claras de gerenciamento de dados sensíveis, incluindo retenção, eliminação segura e criptografia proativa.

Conclusão

O ataque de ransomware ao Centro de Câncer da Universidade do Havaí é um alerta severo sobre os riscos enfrentados por instituições de pesquisa que lidam com volumes substanciais de dados sensíveis e legados. Além dos desafios técnicos inerentes à defesa contra ameaças persistentes, este incidente destaca a importância de políticas robustas de governança de dados, resposta a incidentes e transparência institucional.

Uma estratégia eficaz de cibersegurança em ambientes acadêmicos deve ir além da simples proteção técnica: requer uma cultura organizacional que priorize a segurança desde a coleta até a descarte de dados, associada a processos claros para comunicação responsável em caso de violação. À medida que a ameaça de ransomware continua a evoluir, organizações semelhantes devem aprender com este episódio para fortalecer suas defesas, proteger a privacidade dos participantes e manter a confiança pública em suas missões científicas e educativas.

Referências Bibliográficas

• University of Hawaii Cancer Center hit by ransomware attack | BleepingComputer. Disponível em: https://www.bleepingcomputer.com/news/security/university-of-hawaii-cancer-center-hit-by-ransomware-attack/

• Report to the 2026 Legislature – University of Hawaiʻi data exposure. Disponível em: https://www.hawaii.edu/govrel/docs/reports/2026/hrs487n-4_2026_cancer-center-exposure_report_508.pdf