{"id":130,"date":"2026-06-18T05:00:44","date_gmt":"2026-06-18T05:00:44","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/18\/novo-nordisk-fulcrumsec-ciberataque-2026\/"},"modified":"2026-06-18T05:02:11","modified_gmt":"2026-06-18T05:02:11","slug":"novo-nordisk-fulcrumsec-ciberataque-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/2026\/06\/18\/novo-nordisk-fulcrumsec-ciberataque-2026\/","title":{"rendered":"Novo Nordisk: FulcrumSec Rouba 1,3 TB e Exige $25M [2026]"},"content":{"rendered":"\n

A Novo Nordisk, fabricante dinamarquesa da Ozempic e Wegovy, confirmou em 11 de junho de 2026 uma viola\u00e7\u00e3o de seguran\u00e7a em que atacantes copiaram dados n\u00e3o p\u00fablicos dos seus sistemas internos. Nos dias seguintes, um grupo de extors\u00e3o de dados chamado FulcrumSec<\/strong> reivindicou a responsabilidade, alegando ter passado mais de 60 dias dentro das redes da farmac\u00eautica e retirado 1,3 terabytes de dados em mais de 700.000 ficheiros<\/strong>. Ap\u00f3s a empresa recusar pagar um resgate de $25 milh\u00f5es<\/strong>, o grupo anunciou que est\u00e1 a explorar a venda privada dos dados roubados, incluindo modelos de intelig\u00eancia artificial propriet\u00e1rios e pipelines de desenvolvimento de f\u00e1rmacos. O incidente representa um ponto de inflex\u00e3o na amea\u00e7a cibern\u00e9tica ao setor farmac\u00eautico: j\u00e1 n\u00e3o se trata apenas de sequestrar sistemas, mas de roubar d\u00e9cadas de investiga\u00e7\u00e3o cient\u00edfica.<\/p>\n\n\n\n

Cronologia: 60 Dias de Infiltra\u00e7\u00e3o Silenciosa<\/h2>\n\n\n\n

Segundo o relato publicado pelo grupo na sua plataforma de fuga de dados na rede Tor, a FulcrumSec obteve acesso inicial \u00e0 infraestrutura da Novo Nordisk em mar\u00e7o de 2026<\/strong> atrav\u00e9s de um token de acesso comprometido do GitHub. Esse token permitiu clonar reposit\u00f3rios de c\u00f3digo-fonte da empresa e, a partir da\u00ed, descobrir credenciais adicionais que abriram portas para sistemas internos mais cr\u00edticos.<\/p>\n\n\n\n

Durante dois meses, os atacantes moveram-se lateralmente pela rede, realizando reconhecimento extensivo, enumerando reposit\u00f3rios e extraindo dados em fases. A abordagem caracteriza-se pela lentid\u00e3o deliberada, uma t\u00e1tica conhecida como “low-and-slow” que procura evitar dete\u00e7\u00e3o por sistemas de monitoriza\u00e7\u00e3o comportamental. O per\u00edodo m\u00e9dio de perman\u00eancia dos atacantes em redes de sa\u00fade antes de serem detetados \u00e9 de 241 dias em 2025<\/strong>, segundo dados da Cobalt, o que torna este cen\u00e1rio, descoberto em 60 dias, relativamente r\u00e1pido para o setor.<\/p>\n\n\n\n

Em 1 de junho de 2026<\/strong>, a FulcrumSec contactou a Novo Nordisk com prova de posse, incluindo credenciais roubadas e uma lista de mais de 700.000 ficheiros. A 11 de junho, a empresa detetou o acesso n\u00e3o autorizado e ativou o seu protocolo de resposta a incidentes, contratando peritos externos de ciberseguran\u00e7a forense. Nesse mesmo dia, emitiu uma comunica\u00e7\u00e3o oficial confirmando que “determinados dados n\u00e3o p\u00fablicos, incluindo dados pessoais, foram copiados e removidos dos sistemas da empresa sem autoriza\u00e7\u00e3o.”<\/p>\n\n\n\n

Quem \u00e9 a FulcrumSec: O Grupo que Emergiu em Outubro de 2025<\/h2>\n\n\n\n

A FulcrumSec, aparentemente abrevia\u00e7\u00e3o de Fulcrum Security, \u00e9 um grupo de extors\u00e3o de dados relativamente novo que surgiu pela primeira vez em outubro de 2025<\/strong>. Ao contr\u00e1rio das gangues tradicionais de ransomware que encriptam sistemas e paralisam opera\u00e7\u00f5es, a FulcrumSec opera como um “data broker<\/strong> de extors\u00e3o”: o seu modelo de neg\u00f3cio assenta no roubo de dados, amea\u00e7a de publica\u00e7\u00e3o e, quando o alvo recusa pagar, na venda privada dos dados a terceiros interessados.<\/p>\n\n\n\n

Esta distin\u00e7\u00e3o \u00e9 operacionalmente importante. Enquanto um ataque de ransomware cl\u00e1ssico causa disrup\u00e7\u00e3o imediata, vis\u00edvel e mensur\u00e1vel (sistemas offline, opera\u00e7\u00f5es paradas), o modelo da FulcrumSec \u00e9 mais silencioso e potencialmente mais devastador a longo prazo para empresas com propriedade intelectual valiosa. A Novo Nordisk confirmou que as suas opera\u00e7\u00f5es continuaram sem interrup\u00e7\u00f5es, o que \u00e9 consistente com esta abordagem: o objetivo n\u00e3o era paralisar a empresa, mas roubar os seus ativos mais valiosos.<\/p>\n\n\n\n

Rastreadores de threat intelligence classificam a FulcrumSec como um ator orientado para setores com alta densidade de propriedade intelectual: farmac\u00eautico, ci\u00eancias da vida e tecnologia m\u00e9dica. O grupo mant\u00e9m um portal de fuga de dados na rede Tor onde lista as suas v\u00edtimas e publica provas de acesso. O manifesto publicado relativo \u00e0 Novo Nordisk ultrapassou as 4.000 palavras de documenta\u00e7\u00e3o t\u00e9cnica detalhada, o que demonstra capacidades operacionais sofisticadas para um grupo com apenas 8 meses de exist\u00eancia.<\/p>\n\n\n\n

O Vetor de Ataque: Um Token GitHub Comprometido<\/h2>\n\n\n\n

O ponto de entrada foi um token de acesso ao GitHub, uma credencial que permite a sistemas e programadores interagir com reposit\u00f3rios de c\u00f3digo-fonte de forma automatizada. Segundo a SecurityWeek, a FulcrumSec usou esse token para clonar reposit\u00f3rios da Novo Nordisk e, a partir do c\u00f3digo armazenado, identificar credenciais adicionais codificadas diretamente nos ficheiros ou em vari\u00e1veis de ambiente.<\/p>\n\n\n\n

Este tipo de ataque por “supply chain de credenciais” tem crescido significativamente. Tokens de acesso s\u00e3o frequentemente tratados com menos rigor do que palavras-passe de utilizador, mas concedem acesso equivalente ou superior. Uma vez comprometido um reposit\u00f3rio de c\u00f3digo, o atacante tem acesso a segredos que os pr\u00f3prios programadores podem ter esquecido: chaves de API para servi\u00e7os de cloud, tokens de bases de dados, credenciais de sistemas internos e, no caso de uma empresa farmac\u00eautica, potencialmente os sistemas de computa\u00e7\u00e3o de alto desempenho usados para treino de modelos de IA.<\/p>\n\n\n\n

A explora\u00e7\u00e3o de tokens GitHub comprometidos aumentou 34% em 2024, segundo dados da Verizon DBIR 2025, e tornou-se uma das principais portas de entrada em organiza\u00e7\u00f5es de investiga\u00e7\u00e3o e tecnologia. A rota\u00e7\u00e3o autom\u00e1tica de tokens e a proibi\u00e7\u00e3o de segredos codificados diretamente em reposit\u00f3rios s\u00e3o contramedidas b\u00e1sicas que continuam a ser ignoradas em muitas organiza\u00e7\u00f5es.<\/p>\n\n\n\n

1,3 Terabytes em 700.000 Ficheiros: O que Foi Roubado<\/h2>\n\n\n\n

Propriedade Intelectual e Investiga\u00e7\u00e3o Farmac\u00eautica<\/h3>\n\n\n\n

O manifesto publicado pela FulcrumSec, com mais de 4.000 palavras, lista categorias detalhadas do que alega ter roubado. Entre os elementos mais cr\u00edticos est\u00e3o informa\u00e7\u00f5es sobre programas de f\u00e1rmacos n\u00e3o divulgados, estruturas propriet\u00e1rias de compostos, o pipeline Dicerna RNAi (tecnologia de RNA de interfer\u00eancia que a Novo Nordisk adquiriu atrav\u00e9s da compra da Dicerna Pharmaceuticals em 2021), informa\u00e7\u00f5es sobre instala\u00e7\u00f5es de produ\u00e7\u00e3o e dezenas de modelos de IA internos e conjuntos de dados de treino<\/strong>.<\/p>\n\n\n\n

Para al\u00e9m disso, o grupo afirma ter acesso a c\u00f3digo-fonte de milhares de reposit\u00f3rios, registos de 113 execu\u00e7\u00f5es de treino de modelos, mapas de infraestrutura interna cobrindo sistemas HPC (High-Performance Computing), Slurm e SSH, e mais de 53 gigabytes de imagens de contentores<\/strong>. A lista inclui tamb\u00e9m identidades de programadores e nomes de anfitri\u00f5es internos, informa\u00e7\u00e3o que pode servir para futuros ataques de engenharia social direcionados.<\/p>\n\n\n\n

Registos de Colaboradores e Dados de Ensaios Cl\u00ednicos<\/h3>\n\n\n\n

O grupo alega ainda ter acesso a 163.000 registos de colaboradores<\/strong> e a dados relativos a aproximadamente 11.500 participantes pseudonimizados em ensaios cl\u00ednicos<\/strong>. A Novo Nordisk confirmou que as categorias de dados expostos nos ensaios cl\u00ednicos incluem: identificadores de doentes (cadeias alfanum\u00e9ricas aleat\u00f3rias), informa\u00e7\u00f5es sobre a participa\u00e7\u00e3o nos ensaios, sexo, ano de nascimento, biomarcadores, dados de sa\u00fade e imunogenicidade, e fatores de estilo de vida como estatuto tab\u00e1gico, consumo de \u00e1lcool e \u00edndice de massa corporal.<\/p>\n\n\n\n

Para os profissionais de sa\u00fade, os dados expostos foram mais diretamente identificativos: nomes, n\u00fameros de registo profissional, endere\u00e7os de email, n\u00fameros de telefone, contactos de WhatsApp e localiza\u00e7\u00f5es de consult\u00f3rios. A empresa confirmou que est\u00e1 a enviar cartas de notifica\u00e7\u00e3o individualizadas a cada grupo afetado e disponibilizou o endere\u00e7o privacy@novonordisk.com<\/strong> para quest\u00f5es dos afetados.<\/p>\n\n\n\n

Categoria de Dados<\/th>Tipo<\/th>Volume Estimado<\/th>Confirmado pela Novo Nordisk<\/th><\/tr><\/thead>
Participantes em ensaios cl\u00ednicos (pseudonimizados)<\/td>Dados de sa\u00fade<\/td>~11.500 registos<\/td>Sim<\/td><\/tr>
Registos de colaboradores<\/td>Dados pessoais<\/td>163.000 registos<\/td>N\u00e3o confirmado<\/td><\/tr>
Modelos de IA e checkpoints de treino<\/td>Propriedade intelectual<\/td>16 GB (checkpoints) + dezenas de modelos<\/td>N\u00e3o confirmado<\/td><\/tr>
Reposit\u00f3rios de c\u00f3digo-fonte<\/td>Propriedade intelectual<\/td>Milhares de reposit\u00f3rios<\/td>N\u00e3o confirmado<\/td><\/tr>
Dados de f\u00e1rmacos n\u00e3o divulgados<\/td>I&D farmac\u00eautico<\/td>N\u00e3o divulgado<\/td>N\u00e3o confirmado<\/td><\/tr>
Pipeline Dicerna RNAi<\/td>I&D farmac\u00eautico<\/td>N\u00e3o divulgado<\/td>N\u00e3o confirmado<\/td><\/tr>
Imagens de contentores Docker\/CI<\/td>Infraestrutura<\/td>53+ GB<\/td>N\u00e3o confirmado<\/td><\/tr>
Dados de profissionais de sa\u00fade<\/td>Dados pessoais diretos<\/td>N\u00e3o divulgado<\/td>Sim<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Modelos de IA Farmac\u00eautica: O Verdadeiro Alvo Estrat\u00e9gico<\/h2>\n\n\n\n

O roubo de modelos de IA representa uma dimens\u00e3o nova e particularmente preocupante neste incidente. Os checkpoints de modelos<\/strong> s\u00e3o snapshots dos pesos de modelos de machine learning guardados durante o treino, que permitem retomar, afinar ou implementar o modelo. No contexto farmac\u00eautico, estes modelos s\u00e3o usados para descoberta de f\u00e1rmacos, previs\u00e3o de toxicidade, an\u00e1lise de estrutura proteica e otimiza\u00e7\u00e3o de ensaios cl\u00ednicos.<\/p>\n\n\n\n

Um checkpoint de 16 GB n\u00e3o \u00e9 apenas um ficheiro t\u00e9cnico: \u00e9 potencialmente a representa\u00e7\u00e3o matem\u00e1tica de padr\u00f5es aprendidos a partir de milh\u00f5es de mol\u00e9culas, resultados cl\u00ednicos e dados de biologia molecular que a Novo Nordisk acumulou ao longo de d\u00e9cadas. Para um concorrente no setor farmac\u00eautico ou biotecnol\u00f3gico, estes modelos poderiam reduzir anos de investiga\u00e7\u00e3o e centenas de milh\u00f5es de euros em custos de desenvolvimento. A SentinelOne documenta que 56% dos ataques ao setor de sa\u00fade em 2025 tiveram como objetivo prim\u00e1rio o roubo de dados, e n\u00e3o a disrup\u00e7\u00e3o operacional, uma mudan\u00e7a significativa em rela\u00e7\u00e3o a anos anteriores.<\/p>\n\n\n\n

A FulcrumSec disse explicitamente que acredita que “os dados roubados poderiam ser valiosos para concorrentes” porque cont\u00eam investiga\u00e7\u00e3o de f\u00e1rmacos propriet\u00e1ria, modelos de IA internos, informa\u00e7\u00f5es de produ\u00e7\u00e3o e detalhes relacionados com o pipeline de desenvolvimento futuro da empresa. Esta \u00e9 uma declara\u00e7\u00e3o de inten\u00e7\u00f5es clara: o mercado-alvo para a venda dos dados s\u00e3o empresas farmac\u00eauticas e biotecnol\u00f3gicas rivais, o que configura potencialmente espionagem industrial em m\u00faltiplas jurisdi\u00e7\u00f5es.<\/p>\n\n\n\n

Dois Grupos, Dois Resgates: Nenhum Pago<\/h2>\n\n\n\n

Um detalhe que a maioria da cobertura medi\u00e1tica ignorou: a Novo Nordisk recebeu exig\u00eancias de extors\u00e3o de dois grupos distintos<\/strong> na mesma vaga de ataques. Al\u00e9m da FulcrumSec com os seus $25 milh\u00f5es, um segundo grupo exigiu $50 milh\u00f5es<\/strong> pelo mesmo per\u00edodo, segundo o DataBreaches.net. A Novo Nordisk recusou pagar qualquer valor a qualquer grupo, uma posi\u00e7\u00e3o que est\u00e1 em linha com a orienta\u00e7\u00e3o crescente de reguladores e seguradoras que desaconselham o pagamento de resgates.<\/p>\n\n\n\n

A FulcrumSec clarificou no seu manifesto que o seu ataque \u00e9 distinto do outro incidente reivindicado pelo segundo grupo, embora ambos tenham ocorrido num per\u00edodo temporal pr\u00f3ximo. A coincid\u00eancia de dois grupos a afirmar acesso simult\u00e2neo ou pr\u00f3ximo aos sistemas da mesma empresa sugere que a Novo Nordisk pode ter sido identificada como alvo de alto valor em m\u00faltiplas comunidades de ciberatacantes, ou que vulnerabilidades na sua cadeia de credenciais foram descobertas e exploradas independentemente por grupos diferentes.<\/p>\n\n\n\n

No total, a empresa foi confrontada com exig\u00eancias de extors\u00e3o agregadas de $75 milh\u00f5es<\/strong>, recusou pagar e manteve as opera\u00e7\u00f5es ativas. Esta postura \u00e9 corajosa mas n\u00e3o isenta de riscos: a FulcrumSec anunciou que est\u00e1 a explorar vendas privadas dos dados, o que significa que os ativos roubados podem chegar \u00e0s m\u00e3os de concorrentes sem que a v\u00edtima alguma vez saiba.<\/p>\n\n\n\n

A Estrat\u00e9gia P\u00f3s-Recusa: Venda Privada no Mercado Negro<\/h2>\n\n\n\n

Ap\u00f3s a recusa da Novo Nordisk em pagar, a FulcrumSec anunciou que est\u00e1 a “explorar vendas privadas” dos dados roubados. Este modelo de monetiza\u00e7\u00e3o \u00e9 distinto da publica\u00e7\u00e3o massiva t\u00edpica de grupos de ransomware: em vez de publicar tudo de uma vez para causar dano reputacional m\u00e1ximo, o grupo est\u00e1 a segmentar os dados por valor e a abord\u00e1-los a potenciais compradores espec\u00edficos.<\/p>\n\n\n\n

O grupo afirmou que ir\u00e1 reter temporariamente os conjuntos de dados brutos de doentes e colaboradores da publica\u00e7\u00e3o aberta, mas os dados de investiga\u00e7\u00e3o farmac\u00eautica, modelos de IA e c\u00f3digo-fonte s\u00e3o os primeiros candidatos \u00e0 venda. Esta distin\u00e7\u00e3o \u00e9 juridicamente significativa: a venda de segredos industriais a entidades terceiras pode configurar espionagem industrial ou crimes de viola\u00e7\u00e3o de segredos comerciais em m\u00faltiplas jurisdi\u00e7\u00f5es europeias, incluindo sob a Diretiva da UE sobre Segredos Comerciais (2016\/943).<\/p>\n\n\n\n

A Help Net Security reportou que a iRhythm Technologies foi igualmente v\u00edtima de um ataque de dados na mesma semana, atrav\u00e9s de engenharia social, embora n\u00e3o haja evid\u00eancia de liga\u00e7\u00e3o entre os dois incidentes. A proximidade temporal de m\u00faltiplos ataques a empresas do setor da sa\u00fade e ci\u00eancias da vida durante a segunda semana de junho de 2026 pode refletir uma janela de vulnerabilidade partilhada ou um aumento coordenado de atividade por grupos de extors\u00e3o.<\/p>\n\n\n\n

O Setor de Sa\u00fade Sitiado: Estat\u00edsticas 2025-2026<\/h2>\n\n\n\n

Incidentes em Crescimento Acelerado<\/h3>\n\n\n\n

O ataque \u00e0 Novo Nordisk n\u00e3o ocorre no vazio. O setor de sa\u00fade foi o mais atacado de todos os setores industriais em 2025, segundo m\u00faltiplas fontes independentes. Os incidentes cibern\u00e9ticos na \u00e1rea da sa\u00fade subiram de 476 em 2024 para 585 em 2025<\/strong>, um aumento de 21%<\/strong>. Os ataques de ransomware especificamente a empresas de sa\u00fade cresceram 30%<\/strong> no primeiro trimestre ao terceiro de 2025 em rela\u00e7\u00e3o ao mesmo per\u00edodo de 2024, segundo a Comparitech, com 293 ataques a prestadores de cuidados de sa\u00fade e 130 a empresas do setor no mesmo per\u00edodo.<\/p>\n\n\n\n

Em termos de custo, o setor de sa\u00fade mant\u00e9m-se consistentemente no topo das ind\u00fastrias com viola\u00e7\u00f5es mais caras. O custo m\u00e9dio de uma viola\u00e7\u00e3o de dados em sa\u00fade atingiu $11,2 milh\u00f5es em 2025<\/strong>, segundo a SentinelOne, um aumento de 35% em tr\u00eas anos. A proje\u00e7\u00e3o da ScienceSoft indica que este valor ultrapassar\u00e1 $12 milh\u00f5es at\u00e9 ao final de 2026<\/strong>, crescendo ao dobro da taxa de outras ind\u00fastrias. Para refer\u00eancia, o custo m\u00e9dio de uma viola\u00e7\u00e3o noutros setores ronda os $4,88 milh\u00f5es em 2024, segundo o IBM Cost of Data Breach Report.<\/p>\n\n\n\n

O Tempo Que os Atacantes Passam Dentro das Redes<\/h3>\n\n\n\n

Um dos n\u00fameros mais preocupantes do setor \u00e9 o tempo m\u00e9dio de perman\u00eancia dos atacantes antes de serem detetados: 241 dias em 2025<\/strong>, segundo a Cobalt, embora em ligeira queda em rela\u00e7\u00e3o a 2024. Isto significa que, em m\u00e9dia, os atacantes passam quase 8 meses dentro de uma rede de sa\u00fade antes de qualquer a\u00e7\u00e3o de conten\u00e7\u00e3o. No caso da Novo Nordisk, os 60 dias de dwell time relatados pela FulcrumSec ficam abaixo da m\u00e9dia do setor, o que pode indicar uma dete\u00e7\u00e3o relativamente r\u00e1pida face ao padr\u00e3o hist\u00f3rico, embora seja dif\u00edcil de confirmar sem detalhes do processo de dete\u00e7\u00e3o.<\/p>\n\n\n\n

No per\u00edodo de janeiro a setembro de 2025, foram reportadas \u00e0 OCR (Office for Civil Rights dos EUA) 508 viola\u00e7\u00f5es de dados de sa\u00fade<\/strong> afetando 500 ou mais indiv\u00edduos, com uma m\u00e9dia de 71.276 registos por viola\u00e7\u00e3o<\/strong>. O setor da sa\u00fade representa 17% de todos os ataques de ransomware<\/strong> a n\u00edvel global, tornando-o o setor mais visado de todos, segundo dados da Veriti.<\/p>\n\n\n\n

Compara\u00e7\u00e3o com os Maiores Ataques ao Setor Farmac\u00eautico e de Sa\u00fade<\/h2>\n\n\n\n

Para contextualizar a dimens\u00e3o do ataque \u00e0 Novo Nordisk, \u00e9 \u00fatil compar\u00e1-lo com os incidentes mais significativos dos \u00faltimos dois anos. O ataque \u00e0 Change Healthcare<\/strong> em 2024 mant\u00e9m-se como o mais disruptivo: a empresa, subsidi\u00e1ria da UnitedHealth Group, pagou um resgate confirmado de $22 milh\u00f5es<\/strong> ao grupo ALPHV\/BlackCat, mas os dados foram igualmente publicados por um afiliado. A disrup\u00e7\u00e3o operacional for\u00e7ou hospitais e farm\u00e1cias dos EUA a cancelar pagamentos durante semanas, afetando mais de 67.000 organiza\u00e7\u00f5es de sa\u00fade e expondo os dados de sa\u00fade de centenas de milh\u00f5es de americanos.<\/p>\n\n\n\n

Empresa<\/th>Ano<\/th>Grupo Atacante<\/th>Resgate Exigido<\/th>Pago<\/th>Tipo Principal de Dados<\/th><\/tr><\/thead>
Novo Nordisk<\/td>2026<\/td>FulcrumSec + segundo grupo<\/td>$25M + $50M<\/td>N\u00e3o<\/td>IA, I&D farmac\u00eautico, dados cl\u00ednicos<\/td><\/tr>
Change Healthcare (UnitedHealth)<\/td>2024<\/td>ALPHV\/BlackCat<\/td>$22M<\/td>Sim ($22M)<\/td>Dados de sa\u00fade, transa\u00e7\u00f5es m\u00e9dicas<\/td><\/tr>
Ascension Health<\/td>2024<\/td>Black Basta<\/td>N\u00e3o divulgado<\/td>N\u00e3o confirmado<\/td>Dados de doentes, sistemas cl\u00ednicos<\/td><\/tr>
Synnovis (NHS)<\/td>2024<\/td>Qilin<\/td>$50M<\/td>N\u00e3o<\/td>Dados de transfus\u00e3o e an\u00e1lises laboratoriais<\/td><\/tr>
DaVita (di\u00e1lise)<\/td>2025<\/td>Unkillable\/Interlock<\/td>N\u00e3o divulgado<\/td>N\u00e3o confirmado<\/td>2,7M registos de doentes<\/td><\/tr>
iRhythm Technologies<\/td>2026<\/td>N\u00e3o identificado<\/td>N\u00e3o divulgado<\/td>Desconhecido<\/td>Dados de sa\u00fade de doentes (cardiologia)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

O que distingue o caso Novo Nordisk de todos os anteriores \u00e9 a natureza do que foi roubado. Enquanto os ataques \u00e0 Change Healthcare, Ascension e Synnovis visaram principalmente dados de doentes e a disrup\u00e7\u00e3o de opera\u00e7\u00f5es cl\u00ednicas, o ataque da FulcrumSec foi orientado para a propriedade intelectual de alto valor: modelos de IA, c\u00f3digo-fonte de f\u00e1rmacos e pipelines de investiga\u00e7\u00e3o. Esta evolu\u00e7\u00e3o representa uma matura\u00e7\u00e3o das capacidades dos atacantes e uma mudan\u00e7a estrutural no modelo de neg\u00f3cio da extors\u00e3o cibern\u00e9tica no setor farmac\u00eautico.<\/p>\n\n\n\n

Implica\u00e7\u00f5es do RGPD: Dados Pseudonimizados N\u00e3o S\u00e3o Dados An\u00f3nimos<\/h2>\n\n\n\n

A Novo Nordisk sublinhou repetidamente que os dados dos ensaios cl\u00ednicos eram pseudonimizados, n\u00e3o diretamente identificativos, e que “o conhecimento da identidade do doente exigiria acesso a informa\u00e7\u00e3o adicional que n\u00e3o fez parte do incidente.” Esta comunica\u00e7\u00e3o \u00e9 juridicamente estrat\u00e9gica mas n\u00e3o absolve a empresa de obriga\u00e7\u00f5es regulat\u00f3rias ao abrigo do RGPD.<\/p>\n\n\n\n

Sob o Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados, a pseudonimiza\u00e7\u00e3o reduz o risco mas n\u00e3o transforma dados pessoais em dados an\u00f3nimos. Dados pseudonimizados continuam a ser dados pessoais se for poss\u00edvel a re-identifica\u00e7\u00e3o com informa\u00e7\u00e3o adicional. No contexto de um ensaio cl\u00ednico, onde o promotor mant\u00e9m uma chave de desencripta\u00e7\u00e3o, os dados dos participantes ret\u00eam a sua natureza de dados pessoais sens\u00edveis de sa\u00fade, que beneficiam de prote\u00e7\u00e3o refor\u00e7ada ao abrigo do Artigo 9 do RGPD.<\/p>\n\n\n\n

A Novo Nordisk, como empresa dinamarquesa a operar na UE, est\u00e1 sujeita \u00e0 supervis\u00e3o da Datatilsynet (autoridade de prote\u00e7\u00e3o de dados da Dinamarca). Uma viola\u00e7\u00e3o de dados envolvendo dados de sa\u00fade de ensaios cl\u00ednicos e dados pessoais de profissionais de sa\u00fade em m\u00faltiplos pa\u00edses europeus tem o potencial de desencadear investiga\u00e7\u00f5es coordenadas entre m\u00faltiplas autoridades de supervis\u00e3o europeias ao abrigo do mecanismo de “one-stop-shop” do RGPD. As coimas m\u00e1ximas previstas chegam a \u20ac20 milh\u00f5es ou 4% do volume de neg\u00f3cios global anual<\/strong>. Para uma empresa do porte da Novo Nordisk, com receitas anuais na ordem dos 65 mil milh\u00f5es de coroas dinamarquesas, 4% do volume de neg\u00f3cios global representaria um valor extraordinariamente elevado, muito acima do limiar de \u20ac20 milh\u00f5es.<\/p>\n\n\n\n

Resposta da Novo Nordisk: Investiga\u00e7\u00e3o e Notifica\u00e7\u00e3o<\/h2>\n\n\n\n

A empresa ativou o seu protocolo de resposta a incidentes a 11 de junho de 2026, contratou peritos externos de ciberseguran\u00e7a forense e notificou as autoridades de prote\u00e7\u00e3o de dados relevantes. As opera\u00e7\u00f5es da empresa mantiveram-se sem interrup\u00e7\u00f5es, confirmando a natureza de exfiltra\u00e7\u00e3o silenciosa do ataque. A Novo Nordisk est\u00e1 a enviar cartas de notifica\u00e7\u00e3o individualizadas a dois grupos distintos de afetados: participantes em ensaios cl\u00ednicos e profissionais de sa\u00fade.<\/p>\n\n\n\n

A empresa n\u00e3o anunciou servi\u00e7os de monitoriza\u00e7\u00e3o de cr\u00e9dito ou prote\u00e7\u00e3o de identidade para os afetados, o que pode ser justificado pelo facto de os dados dos doentes serem pseudonimizados. Para os profissionais de sa\u00fade, cujos dados incluem nomes, emails e n\u00fameros de telefone, a aus\u00eancia de medidas de prote\u00e7\u00e3o adicionais \u00e9 mais dif\u00edcil de justificar e poder\u00e1 ser objeto de escrut\u00ednio regulat\u00f3rio. A empresa recusou comentar as alega\u00e7\u00f5es espec\u00edficas da FulcrumSec sobre o volume de dados roubados, o vetor de entrada ou as exig\u00eancias de resgate.<\/p>\n\n\n\n

An\u00e1lise: O Modelo “Data Broker” Redefine a Amea\u00e7a ao Setor Farmac\u00eautico<\/h2>\n\n\n\n

O caso Novo Nordisk cristaliza uma tend\u00eancia que analistas de threat intelligence t\u00eam documentado ao longo de 2025-2026: o decl\u00ednio relativo do ransomware de encripta\u00e7\u00e3o pura e a ascens\u00e3o do modelo “hack and leak” orientado para propriedade intelectual. Esta evolu\u00e7\u00e3o \u00e9 impulsionada por v\u00e1rios fatores convergentes.<\/p>\n\n\n\n

Primeiro, as organiza\u00e7\u00f5es melhoraram significativamente as suas capacidades de recupera\u00e7\u00e3o atrav\u00e9s de backups, reduzindo a efic\u00e1cia da encripta\u00e7\u00e3o como alavanca de extors\u00e3o. Segundo, a press\u00e3o regulat\u00f3ria e legal sobre o pagamento de resgates aumentou em m\u00faltiplas jurisdi\u00e7\u00f5es, tornando as organiza\u00e7\u00f5es mais relutantes em pagar. Terceiro, e mais relevante para o caso Novo Nordisk, a IA criou uma nova classe de ativos digitais de valor extraordinariamente elevado: modelos treinados com dados propriet\u00e1rios que representam investimentos de centenas de milh\u00f5es de euros em I&D.<\/p>\n\n\n\n

Para uma empresa farmac\u00eautica como a Novo Nordisk, o roubo de modelos de IA e c\u00f3digo-fonte de f\u00e1rmacos \u00e9 potencialmente mais devastador do que semanas de downtime operacional. O atacante que vende esses dados a um concorrente pode efetivamente transferir anos de vantagem competitiva de uma empresa para outra, sem que a v\u00edtima alguma vez saiba quem foi o comprador. Este cen\u00e1rio n\u00e3o tem precedentes na hist\u00f3ria da extors\u00e3o cibern\u00e9tica industrial.<\/p>\n\n\n\n

Previs\u00f5es: O que Esperar em 2026-2027<\/h2>\n\n\n\n

Com base na an\u00e1lise deste incidente e nas tend\u00eancias do setor, \u00e9 poss\u00edvel identificar cinco dire\u00e7\u00f5es prov\u00e1veis para os pr\u00f3ximos 18 meses.<\/p>\n\n\n\n

1. A gest\u00e3o de tokens e segredos torna-se obriga\u00e7\u00e3o regulat\u00f3ria.<\/strong> O vetor de entrada da FulcrumSec, um token de GitHub comprometido, \u00e9 evit\u00e1vel com ferramentas de gest\u00e3o de segredos como HashiCorp Vault ou AWS Secrets Manager. Ap\u00f3s este incidente de alto perfil, espera-se que reguladores europeus incluam a rota\u00e7\u00e3o obrigat\u00f3ria de tokens e a proibi\u00e7\u00e3o de segredos codificados em reposit\u00f3rios como requisitos expl\u00edcitos para empresas farmac\u00eauticas sob a NIS2.<\/p>\n\n\n\n

2. O roubo de modelos de IA tornar-se-\u00e1 um vetor de espionagem industrial estruturado.<\/strong> A Novo Nordisk n\u00e3o ser\u00e1 a \u00faltima v\u00edtima desta abordagem. Empresas farmac\u00eauticas, biotecnol\u00f3gicas e de tecnologia m\u00e9dica que investem em IA para descoberta de f\u00e1rmacos passar\u00e3o a ser alvos prim\u00e1rios de grupos de extors\u00e3o e de atores patrocinados por estados.<\/p>\n\n\n\n

3. O custo m\u00e9dio de uma viola\u00e7\u00e3o no setor de sa\u00fade ultrapassar\u00e1 $12 milh\u00f5es at\u00e9 ao final de 2026.<\/strong> A ScienceSoft projectou este limiar com base na trajet\u00f3ria de crescimento atual, e o padr\u00e3o de ataques do primeiro semestre de 2026 sugere que a proje\u00e7\u00e3o \u00e9 conservadora.<\/p>\n\n\n\n

4. Mais grupos adoptar\u00e3o o modelo “data broker” de extors\u00e3o.<\/strong> A efic\u00e1cia demonstrada pela FulcrumSec ao evitar defesas de backup tradicionais e ao criar um mercado secund\u00e1rio para dados roubados incentivar\u00e1 grupos menos sofisticados a replicar esta abordagem, com setores-alvo que incluem n\u00e3o apenas a sa\u00fade, mas tamb\u00e9m a ind\u00fastria autom\u00f3vel, a defesa e a tecnologia de ponta.<\/p>\n\n\n\n

5. Reguladores europeus acelerar\u00e3o exig\u00eancias de prote\u00e7\u00e3o de dados de ensaios cl\u00ednicos.<\/strong> A exposi\u00e7\u00e3o de dados pseudonimizados de 11.500 participantes em ensaios cl\u00ednicos vai catalisar discuss\u00f5es sobre requisitos m\u00ednimos de seguran\u00e7a para dados de investiga\u00e7\u00e3o cl\u00ednica no contexto do RGPD e da legisla\u00e7\u00e3o farmac\u00eautica europeia, com potencial impacto nas exig\u00eancias de conformidade da EMA.<\/p>\n\n\n\n

Cobertura Relacionada<\/h2>\n\n\n\n

Para aprofundar a compreens\u00e3o deste incidente e do panorama de amea\u00e7as ao setor de sa\u00fade, consulte a nossa cobertura relacionada:<\/p>\n\n\n\n