Qilin no NHS: conta de vítimas do ataque à Synnovis cresce dois anos depois com mais um trust afetado

Dois anos depois do ataque do ransomware Qilin contra a Synnovis — provedora de patologia clínica do NHS de Londres — a conta de vítimas segue subindo. O Mid and South Essex NHS Foundation Trust confirmou nesta terça-feira (9/6) que 2.380 registros de pacientes foram comprometidos, somando-se aos quase 33 mil revelados em maio pelo Bedfordshire Hospitals NHS Foundation Trust. O caso é considerado o mais devastador da história do serviço público de saúde britânico e já tem ao menos uma morte oficialmente atribuída à interrupção.

O que aconteceu

O ataque original ocorreu em 3 de junho de 2024, quando o afiliado do grupo Qilin comprometeu a Synnovis, joint venture entre o NHS e a SYNLAB que processa exames laboratoriais para hospitais do sul e sudeste de Londres. A intrusão derrubou serviços de patologia em vários trusts simultaneamente, forçou o cancelamento de milhares de cirurgias e consultas e atrasou exames de sangue e transfusões em unidades de emergência.

O efeito cascata foi imediato e prolongado: bancos de sangue tiveram que recorrer a estoques de tipo O-negativo emergencialmente, hospitais como King’s College e Guy’s and St Thomas’s operaram em regime de contingência por semanas e, em 2025, o King’s College Hospital NHS Foundation Trust confirmou oficialmente o que se temia desde o início — a morte de um paciente foi vinculada aos atrasos causados pelo apagão. Trata-se de uma das primeiras fatalidades reconhecidas formalmente como consequência de um ataque de ransomware no mundo.

O que torna a divulgação desta semana relevante é o que ela revela sobre o ciclo pós-incidente: a Synnovis afirmou ter concluído a análise forense no fim do verão europeu de 2025 e notificado todas as organizações afetadas até novembro. Mas o Mid and South Essex Trust diz só ter sido informado em dezembro de 2025 — e, seis meses depois, ainda tenta mapear quem são os pacientes por trás dos registros comprometidos.

Por que a contagem ainda cresce

O motivo do crescimento contínuo da lista de vítimas está na arquitetura de dados da Synnovis. A empresa atua como processadora (data processor) para múltiplos trusts (controllers, no léxico da GDPR), o que significa que ela mantém cópias de identificadores, resultados de exames e metadados — mas a obrigação legal de notificar pacientes recai sobre cada trust individual, que precisa cruzar os registros vazados com seus próprios prontuários para identificar pessoas reais.

“Ainda esperamos a confirmação dos números exatos. Quando estabelecermos quem são esses pacientes, entraremos em contato com os afetados.”

Dawn Scrafield, vice-diretora-executiva do Mid and South Essex NHS Foundation Trust

A Synnovis insiste que os dados, por estarem fragmentados (resultados de testes desacoplados de identificadores diretos), não representariam alto risco individual. A leitura é defensável, mas otimista: o material vazado já foi publicado online em 2024 depois da recusa do NHS em pagar o resgate, e qualquer atacante secundário pode cruzá-lo com bases públicas para reconstruir perfis.

Quem está afetado

• Pacientes que realizaram exames laboratoriais via Synnovis em trusts do sul e sudeste de Londres entre meados de 2023 e 3 de junho de 2024.
• Mid and South Essex NHS Foundation Trust: ~2.380 registros confirmados nesta semana.
• Bedfordshire Hospitals NHS Foundation Trust: ~33.000 registros, anunciados no início de junho.
• King’s College Hospital, Guy’s and St Thomas’s, Synnovis Analytics e outros trusts do sudeste londrino, cuja contabilização ainda é parcial.
• Familiares e cuidadores cujos dados de contato possam estar associados aos prontuários afetados.

Análise

O caso Synnovis é o estudo de caso definitivo sobre cauda longa de incidentes de ransomware no setor de saúde. Dois anos depois, o ciclo de descoberta continua — e isso tem implicações regulatórias importantes. A GDPR exige notificação aos titulares de dados “sem atraso indevido”, mas a definição prática do que isso significa quando a vítima é uma processadora com dezenas de clientes ainda é cinza. O ICO (Information Commissioner’s Office do Reino Unido) provavelmente revisitará as multas e orientações sobre processadores-críticos de infraestrutura após o desfecho.

Há também a leitura sobre o ecossistema Qilin. O grupo emergiu em 2022 como um RaaS de médio porte e, em 2024-2026, virou um dos cinco mais ativos do mundo segundo dados da Recorded Future e da Mandiant. Atacar uma processadora de patologia clínica não foi acidente — foi escolha calculada. A Synnovis era o ponto de menor resistência e maior alavancagem dentro da cadeia de saúde britânica. O modelo se repete em outros países: provedores de laboratório nos EUA (Quest Diagnostics, Change Healthcare), na França (CGM), na Austrália (MediSecure) sofreram lógicas idênticas. O atacante busca o nó com mais conexões e menor visibilidade pública.

Para o Brasil, a comparação inevitável é com o setor de planos de saúde e prestadores terceirizados de exames. Empresas como Dasa, Fleury e Hermes Pardini operam com lógica semelhante de “processador para muitos controllers” — qualquer comprometimento simultaneamente atinge dezenas de operadoras e milhares de hospitais. A LGPD já cobre processadores, mas a regulação prática ainda é frágil quanto a obrigações de continuidade operacional.

Recomendações práticas

• Para hospitais e operadoras: mapeie todos os processadores críticos de dados de saúde — laboratórios, telerradiologia, faturistas, RIS/PACS. O risco de cadeia é, hoje, maior que o risco direto.
• Exija dos processadores planos de continuidade operacional (BCDR) testados, com tempo de recuperação contratualmente garantido (RTO/RPO) e cláusulas de notificação em até 72 horas.
• Implante segmentação de rede entre o sistema laboratorial e o prontuário eletrônico — o caso Synnovis se espalhou em parte por confiança implícita entre serviços.
• Para pacientes: monitore comunicações de phishing direcionadas que mencionem exames específicos; dados de saúde vazados são insumo para golpes altamente convincentes.
• Para reguladores: revise se as cláusulas de “interesse legítimo” para retenção de dados por processadores ainda fazem sentido em ambiente de ransomware sistêmico.
• Mantenha backups imutáveis (object lock, WORM) dos sistemas laboratoriais — o resgate de 50 bitcoins exigido em 2024 foi recusado precisamente porque o NHS tinha backup viável; sem ele, a tentação política de pagar teria sido muito maior.

Fonte: The Register