Em fevereiro de 2024, o grupo de ransomware BlackCat/ALPHV invadiu a Change Healthcare — uma empresa que você provavelmente nunca ouviu falar, mas que processa 15 bilhões de transações de saúde por ano nos EUA. O que aconteceu nas semanas seguintes mostrou o que acontece quando um ponto único de falha é comprometido em infraestrutura crítica.
O que é a Change Healthcare e por que importa
A Change Healthcare é uma subsidiária da UnitedHealth Group que funciona como intermediária entre médicos, hospitais, farmácias e planos de saúde. Quando você vai a uma farmácia e o plano de saúde autoriza o medicamento em segundos, provavelmente é a Change Healthcare processando essa transação nos bastidores.
Essa centralização é eficiente — e extremamente perigosa. Quando o sistema caiu, 74% dos hospitais americanos relataram interrupções diretas no atendimento a pacientes, incluindo atrasos em autorizações para tratamentos urgentes.
Como o ataque aconteceu
O vetor de entrada foi surpreendentemente simples: uma conta de acesso remoto (Citrix) sem autenticação de dois fatores habilitada. Os atacantes obtiveram as credenciais — provavelmente através de um broker de acesso inicial que as comprou de um infostealer — e entraram sem precisar explorar nenhuma vulnerabilidade técnica sofisticada.
Uma vez dentro, o grupo passou semanas se movendo lateralmente pela rede antes de ativar o ransomware. Quando o ataque foi detectado, já era tarde demais para conter o dano.
Esse ataque é um exemplo clássico de como a maioria das violações reais acontece: não por exploração de zero-days sofisticados, mas por credenciais comprometidas e ausência de controles básicos como MFA. Durante pentests, frequentemente encontramos interfaces de acesso remoto — VPNs, Citrix, RDP — sem MFA habilitado. É um dos primeiros itens que verificamos porque é um dos vetores mais explorados por atacantes reais.
O impacto real: além dos números
Os números são impressionantes: 190 milhões de pessoas tiveram dados expostos, tornando esse o maior vazamento de dados de saúde da história americana. A UnitedHealth pagou US$ 22 milhões de resgate ao BlackCat — e depois teve que pagar novamente a um grupo dissidente que ameaçou publicar os dados de qualquer forma.
Mas o impacto humano vai além dos números. Hospitais menores, que dependiam da Change Healthcare para processar pagamentos, ficaram sem fluxo de caixa por semanas. Alguns precisaram de empréstimos de emergência para continuar operando. Pacientes tiveram tratamentos atrasados porque os sistemas de autorização estavam fora do ar.
O que mudou depois
O ataque acelerou discussões regulatórias sobre requisitos mínimos de segurança para empresas que processam dados de saúde. A UnitedHealth anunciou investimentos significativos em segurança e o CEO foi convocado para depor no Congresso americano.
Mas a lição mais importante não é regulatória — é arquitetural. A centralização extrema criou um ponto único de falha que afetou todo o sistema de saúde americano. Isso levanta questões sobre como infraestrutura crítica deve ser projetada para ser resiliente a ataques.
O que sua empresa pode aprender
- MFA em todos os acessos remotos não é opcional — é o mínimo. Sem exceções para "sistemas legados" ou "contas de serviço"
- Identifique seus pontos únicos de falha: quais sistemas, se comprometidos, paralisariam suas operações?
- Monitore credenciais comprometidas — existem serviços que alertam quando credenciais da sua empresa aparecem em vazamentos
- Tenha um plano de continuidade de negócios testado, não apenas documentado
- Segmente a rede para limitar o movimento lateral após uma invasão inicial
