Hack Alerta

Campanha de ransomware UNC6508 ataca servidores REDCap desatualizados

Por Redação Hack Alerta Publicado em 18/06/2026 16:17 Cyber ataques Tempo de leitura: 4 min

Grupo UNC6508 explora servidores REDCap desatualizados para implantar backdoors e roubar dados de pesquisa, levantando preocupações sobre conformidade com a LGPD.

Descoberta e escopo da ameaça

Uma campanha de ataque coordenada pelo grupo vinculado à China, UNC6508, tem sido identificada explorando servidores REDCap (Research Electronic Data Capture) expostos à internet e desatualizados. O REDCap é uma ferramenta amplamente utilizada em instituições de pesquisa e saúde para coleta e gerenciamento de dados. A falha de segurança reside na manutenção inadequada das versões do software, permitindo que os atacantes estabeleçam acesso inicial e implantem backdoors.

A descoberta destaca a persistência de ameaças avançadas persistentes (APTs) focadas em infraestrutura de pesquisa e saúde. O grupo UNC6508 tem demonstrado uma preferência por alvos que possuem dados sensíveis e sistemas de segurança frequentemente negligenciados em favor da funcionalidade.

Vetor e exploração

O vetor de ataque principal é a exploração de vulnerabilidades conhecidas em versões desatualizadas do REDCap. Ao manter servidores expostos à internet sem as atualizações de segurança mais recentes, as instituições de pesquisa criam uma superfície de ataque ampla. Os atacantes utilizam scanners automatizados para identificar instâncias vulneráveis e, em seguida, exploram falhas para ganhar acesso administrativo.

Uma vez dentro da rede, o grupo implanta backdoors para manter o acesso persistente e exfiltrar dados sensíveis de pesquisa. A natureza dos dados armazenados no REDCap, que frequentemente inclui informações de pacientes e resultados de estudos clínicos, torna esses alvos altamente valiosos para espionagem e chantagem.

Impacto e alcance

A maioria dos servidores REDCap acessíveis pela internet está desatualizada, o que amplia significativamente o risco. A exploração bem-sucedida pode levar à perda de dados de pesquisa, interrupção de estudos clínicos e violação de regulamentações de privacidade como a LGPD no Brasil. O impacto operacional pode ser severo, afetando a continuidade das operações de pesquisa e a confiança dos participantes.

Além disso, a presença de backdoors permite que os atacantes movam-se lateralmente dentro da rede, potencialmente comprometendo outros sistemas críticos da instituição de pesquisa ou hospital.

Implicações regulatórias (LGPD)

No contexto brasileiro, a violação de dados de pesquisa e saúde pode acarretar em multas significativas sob a Lei Geral de Proteção de Dados (LGPD). As instituições são responsáveis por garantir a segurança dos dados que coletam e processam. A falha em manter sistemas atualizados e protegidos pode ser interpretada como negligência na implementação de medidas de segurança adequadas.

A ANPD (Autoridade Nacional de Proteção de Dados) tem enfatizado a importância da segurança cibernética na gestão de dados sensíveis. Instituições de pesquisa devem estar preparadas para demonstrar conformidade com as exigências de segurança da LGPD, incluindo a proteção de dados contra acessos não autorizados.

Medidas de mitigação recomendadas

Para proteger a infraestrutura de pesquisa, as seguintes medidas são essenciais:

  1. Atualização Imediata: Garantir que todos os servidores REDCap estejam na versão mais recente com patches de segurança aplicados.
  2. Restrição de Acesso: Limitar o acesso aos servidores REDCap a redes internas ou através de VPNs seguras, evitando exposição direta à internet.
  3. Monitoramento Contínuo: Implementar soluções de monitoramento de segurança para detectar atividades suspeitas e tentativas de exploração.
  4. Backups Seguros: Manter backups regulares e isolados dos dados do REDCap para recuperação em caso de ataque.

Perguntas frequentes

Como saber se meu servidor REDCap está vulnerável? Verifique a versão instalada e compare com a versão mais recente disponível no site oficial do REDCap.

É necessário desligar o servidor? Não necessariamente, mas é crucial aplicar patches e restringir o acesso imediatamente.

Qual o risco de vazamento de dados? O risco é alto, pois os dados armazenados podem incluir informações pessoais sensíveis de pacientes e participantes de pesquisa.

O que os CISOs devem fazer imediatamente

A campanha do UNC6508 contra servidores REDCap desatualizados exige uma resposta rápida das equipes de segurança. A prioridade deve ser a auditoria de todos os servidores REDCap expostos à internet e a aplicação imediata de patches. Além disso, é necessário revisar as políticas de acesso e implementar controles de rede para limitar a superfície de ataque.

Baseado em publicação original de SecurityWeek
Tags: #=unc6508 #redcap #ransomware #pesquisa #saude #lgpd #vulnerabilidade #backdoor #atualizacao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar