O Brasil se consolidou, em 2026, como o principal epicentro do ransomware na América Latina no setor de saúde, concentrando 51% das ocorrências regionais e figurando entre os três maiores alvos globais. Os dados são do relatório Elytron Threat Pulse de maio de 2026, desenvolvido pela Elytron Cybersecurity, análise que se baseou em fontes públicas e privadas, incluindo dados da BlackFog e 2.424 ocorrências de ransomware registradas globalmente no primeiro trimestre do ano.
O levantamento mostra que, em 96% dos incidentes, os criminosos copiaram dados sensíveis antes de criptografar os sistemas e, com isso, o ransomware deixou de ser apenas uma ameaça de paralisação operacional. Mesmo quando a empresa consegue restaurar seus sistemas por meio de backups, ainda enfrenta o risco de ter informações sigilosas vendidas, publicadas ou usadas como instrumento de pressão e extorsão.
“Quando o dado é roubado antes da criptografia, o backup imutável já não resolve o problema sozinho. A empresa pode até restaurar seus sistemas, mas a informação já saiu do ambiente. E a defesa precisa evoluir para uma arquitetura baseada em detecção comportamental, monitoramento de tráfego de saída e resposta integrada à crise.”, afirma Diogo Navarro, especialista em Cyber Threat Intelligence da Elytron e responsável pelo report.
No setor de saúde, essa mudança é crítica, pois hospitais, laboratórios e farmacêuticas lidam com prontuários, exames e dados genéticos que não podem ser cancelados ou alterados após o vazamento. O relatório aponta uma aceleração de 250% da extorsão cibernética na América Latina, impulsionada por sistemas legados e fragilidades na cadeia de suprimentos. No Brasil, o setor de saúde responde por 10,4% das vítimas de ransomware.
O cenário brasileiro revela forte concentração em grupos específicos. Lockbit5 e The Gentlemen lideram as atividades no país em 2026, com 13 vítimas cada. O The Gentlemen ganhou relevância por focar em saúde e medicina diagnóstica, incluindo casos recentes no Brasil. “O grupo preocupa pela capacidade de abusar de drivers legítimos assinados, escalar privilégios em nível de kernel e desabilitar soluções de endpoint antes do impacto final”, explica Navarro.
Para mitigar os riscos, a Elytron recomenda priorizar a segmentação entre redes administrativas e clínicas, a contenção de movimento lateral e a gestão rigorosa de riscos de terceiros, como fornecedores de equipamentos e sistemas de gestão. “A disrupção do atendimento hospitalar agora concorre com o vazamento de dados sensíveis, a extorsão na saúde tornou-se dupla e cirúrgica”, resume o especialista.