Secom-ALMT
Presidente da CPI da Saúde, Wilson Santos exige explicação sobre ataque cibernético na SES
No momento em que uma CPI aprofunda as apurações sobre uma longa teia de irregularidades, ilegalidades e, até mesmo, uso político da estrutura da Saúde Pública, durante e após a pandemia da Covid-19, causa surpresa – num misto de desconfiança – o anúncio de um ataque cibernético que teria comprometido sistemas e provocado a perda de dados da Secretaria de Estado de Saúde (SES).
Um hacker teria invadido o sistema informatizado – ou, pelo menos, o banco de dados – e uma infinidade de documentos da pasta teriam sido sequestrados ou apagados.
Leia também:
Cuiabá ‘jogou fora’ R$ 50 milhões com livros não utilizados, diz TCE
Seriam mais de 100 bilhões em folhas de papel ou 200 terabytes (unidade de medida de armazenamento de dados digitais) de informações.
A Secretaria de Saúde não informou, no entanto, quais documentos teriam desaparecidos na ação do hacker, referência de anos e gestões. A CPI da Saúde, na Assembleia Legislativa tem suas investigações focadas no período entre 2019 e 2025.
A informação veio a público em reportagem assinada pelo jornalista Lázaro Thor, do site PNB Online (Leia AQUI).
A informação é de que a SES/MT tentou manter o assunto distante do conhecimento público.
Conforme a reportagem, as apurações constataram que o hacker utilizou o sistema LockBit, uma guangue de crimes cibernéticos que utiliza um ransomware normalmente autorizado a partir da execução na rede interna.
A SES tentou evitar, desde março, que o assunto vazasse à imprensa. A Delegacia Especializada de Repressão a Crimes Informáticos (DRCI) abriu inquérito sigiloso sobre o assunto.
O LockBit é o grupo cibercriminoso mais prolífico do mundo, operando sob o modelo de Ransomware como Serviço (RaaS).
Ele recruta afiliados para realizar ataques direcionados, dividindo os lucros.
Atualmente na versão LockBit 5.0, a quadrilha é altamente adaptável e continua a focar em infraestruturas críticas, governos e setor de saúde.
Visão Geral e Histórico
• Modelo de Negócio (RaaS): O grupo principal desenvolve e aluga o código malicioso, enquanto os afiliados invadem as redes, criptografam dados e roubam informações.
• Ameaça Dupla e Tripla: Além de criptografar os dados, os atacantes ameaçam vazar as informações em sites de “vazamento de dados” na dark web, e atacam backups.
• Impacto: O LockBit foi alvo de grandes operações policiais internacionais (como a Operação Cronos), que apreenderam servidores e prenderam membros.
Apesar disso, o grupo demonstrou enorme resiliência, ressurgindo com novas versões e táticas de evasão.
Os ataques do grupo são altamente automatizados e projetados para causar o máximo de dano:
1. Infecção Inicial: Geralmente ocorre por meio de phishing, exploração de vulnerabilidades ou credenciais vazadas.
2. Escalonamento e Propagação: Uma vez dentro da rede, o malware move-se lateralmente, desativa defesas (incluindo logs de eventos e backups) e eleva privilégios.
3. Criptografia Cruzada: Os payloads atuais do LockBit possuem suporte multiplataforma, atingindo desde estações Windows e servidores Linux até máquinas virtuais VMware ESXi.
PREVENÇÃO E PROTEÇÃO – Para mitigar os riscos de um ataque de ransomware, especialistas e agências de segurança (como a Cisa) recomendam adotar as seguintes práticas:
• Autenticação Multifator (MFA): Essencial para proteger acessos administrativos e contas de usuários.
• Política de Backup 3-2-1: Manter três cópias dos dados, em duas mídias diferentes, sendo uma externa e isolada da rede principal.
• Gestão de Vulnerabilidades: Realizar atualizações contínuas de softwares e sistemas operacionais.
• Segmentação de Rede: Isolar sistemas críticos para evitar que a infecção se espalhe por todo o ambiente corporativo.
A reportagem informa ainda que, apesar de não ter recebido nenhum valor pelos arquivos, fato que chamou a atenção dos técnicos aa CPI da Saúde, o hacker não publicou os documentos. Foi apurado pela Polícia Civil apenas a publicação na DeepWeb, a árvore de arquivos sequestrados durante o ataque.
Nesta árvore, que consiste na relação de quais arquivos foram criptografados, estão documentos de auditorias internas que poderiam ser usados na CPI da Saúde e citam empresas investigadas pela Operação Espelho, como a LGI Médicos, Bone Medicina Especializada; Intensive Care, entre outras.
A Bone Medicina, citada na árvore de arquivos sequestradas no ataque, é apresentada em diálogo em que o nome do ex-governador Mauro Mendes (União) aparece nas investigações da Operação Espelho.
Em uma conversa detectada pela polícia, o médico Gustavo Ivoglo afirmou saber como foi a formação da sociedade, citando que o médico Alberto Pires de Almeida virou sócio da Bone porque “operou a esposa do governador”.
Além do ex-governador, o ex-secretário Gilberto Figueiredo é suspeito de lavagem de dinheiro por operações conectadas à Secretaria de Saúde.
Um Relatório de Inteligência Financeira (RIF), feito pela Polícia Federal, demonstrou movimentação financeira atípica de R$ 15 milhões.
As investigações começaram com a Operação Panaceia, deflagrada para investigar um suposto esquema de fraude em licitação, durante o período da pandemia e culminou na prisão do diretor do Hospital Regional de Cáceres.
Os documentos do Hospital de Cáceres também foram capturados pelo ataque hacker.
Chamou a atenção dos investigadores que, dois meses antes do ataque, a SES impossibilitou o acesso de servidores públicos aos documentos da rede, sob a justificativa de estar realizando “auditoria”.
“Comunico que, a partir do dia 12 (doze) de janeiro de 2026, ocorrerá uma reorganização das pastas compartilhadas na rede de computadores e que o acesso se dará por duas pastas, sendo: uma pasta compartilhada para os arquivos correntes do ano de 2026 (que não conterá nenhum arquivo) e outra pasta compartilhada com todos os arquivos de anos anteriores, exclusivamente para consulta”, diz um documento interno da SES.
O ataque, por coincidência, também ocorreu em um momento em que os sistemas de rede dos órgãos públicos de Mato Grosso estavam desprotegidos, sem licença e sem contratualização.
A Empresa Mato-Grossense de Tecnologia da Informação (MTI) havia lançado licitação para garantir a proteção, no início do ano, mas suspendeu logo em seguida, a poucos dias do certame.
Em resposta aos questionamentos enviados à reportagem do PNB Online, a SES informou que abriu boletim de ocorrência sobre o assunto e que o caso foi comunicado à Agência Nacional de Proteção de Dados (ANPD).
Ainda segundo a SES, não houve nenhuma auditoria antes do ataque hacker que tenha gerado “indisponibilidade generalizada de documentos ou sistemas da rede institucional nos moldes mencionados”.
“Durante o processo de investigação e resposta ao incidente, foram realizadas análises técnicas visando identificar vulnerabilidades, vetores de ataque e possíveis fragilidades exploradas. As conclusões e informações detalhadas encontram-se sob apuração técnica e investigação especializada”, diz a manifestação da pasta.
A SES também informou que os “dados afetados” foram recuperados “por meio dos mecanismos de contingência, redundância e recuperação adotados pela infraestrutura tecnológica responsável, permitindo o restabelecimento das informações necessárias à continuidade dos serviços.
MENTIRA – Em uma nova reportagem, nesta quarta-feira (3), o PNB Oline afirma que a Secretaria de Saúde divulgou informação falsa ao informar, na última terça-feira (2), que conseguiu recuperar todo o material destruído pelo ataque hacker sofrido pela pasta e que o ataque teria comprometido apenas 1 terabyte de arquivo.
Os documentos perdidos seriam essenciais para as investigações da CPI da Saúde, aberta pela Assembleia Legislativa de Mato Grosso (ALMT).
A reportagem do site teve acesso à “árvore de arquivos” criptografados pelo hacker.
São mais de 300 mil documentos de todo tipo corrompidos, pelos quais o hacker cobrou 500 mil dólares em bitcoin.
Na mensagem enviada para cobrar a recompensa, o hacker informou que o ataque só foi possível por conta de fragilidades no sistema de segurança da SES. Curiosamente, mesmo sem receber o dinheiro, o criminoso não publicou os documentos, apresentando apenas os “títulos” dos arquivos.
Leia AQUI a reportagem.
COBRANÇA – Nesta quarta-feira (3), o presidente da CPI da Saúde, Wilson Santos (PSD), nesta quarta-feira (3), apresentou requerimento ao Governo do Estado e à Empresa Mato-Grossense de Tecnologia da Informação (MTI), responsável pela gestão tecnológica da administração estadual, para prestar os devidos esclarecimentos.
O parlamentar quer acesso a informações detalhadas sobre a invasão hacker, as medidas adotadas para contenção dos danos, os sistemas atingidos e os procedimentos de proteção e recuperação dos dados comprometidos.
Segundo ele, a gravidade do episódio exige total transparência por parte dos órgãos envolvidos.
“Essa CPI é importantíssima para revelar os modos operantes de crimes que aconteceram, especialmente durante a pandemia dentro da Secretaria Estadual de Saúde. Essa pasta movimentou, nos últimos sete anos, quase R$ 30 bilhões. Os trabalhos da CPI avançam cada vez mais”, afirmou.
O deputado também relacionou o episódio ao momento em que a comissão intensifica as investigações sobre a gestão da saúde pública estadual.
Para ele, o fato da invasão ter ocorrido após a instalação da CPI levanta questionamentos que precisam ser esclarecidos.
“Nós estamos colocando o dedo em uma secretaria que foi malconduzida nos últimos sete anos, onde houve malversação de recursos públicos em quantidades gigantescas. Os trabalhos da CPI avançam e coisas impressionantes começam a acontecer. A destruição destes materiais por hackers queremos saber. Vamos pedir uma perícia técnica federal neste assunto. Destruíram acervo e arquivos importantíssimos, coincidentemente logo após a Assembleia Legislativa ter instalado sua comissão”, declarou.
Wilson Santos destacou ainda que a comissão pretende propor uma perícia técnica especializada para apurar as circunstâncias da invasão e avaliar a extensão dos prejuízos causados ao patrimônio documental e aos bancos de dados da Secretaria de Saúde.
“Esse é um fato gravíssimo, pois depois de três meses somente agora veio a informação sobre essa invasão. Nós não vamos parar, não vamos nos intimidar com os obstáculos e com as pedras neste caminho. Não tem sido fácil e nós sabíamos que não seria. Não é fácil esse trabalho, mas nós vamos prosseguir”, completou.
