Um fornecedor contratado pela agência responsável pela supervisão do sistema de assistência domiciliar de Ontário sofreu um acidente ransomware ataque, o Global News pode revelar – detalhes que a província não compartilhou após o incidente.

Ontario Health atHome, um órgão criado pelo Governo Ford coordenar recursos para atendimento domiciliar e pacientes paliativos, ficou sob escrutínio no ano passado, depois que um de seus fornecedores foi atingido por um ataque cibernético que foi mantido em segredo por meses.

O fornecedor, Ontario Medical Supply (OMS), foi infiltrado pela primeira vez em março de 2025, antes de a empresa ter o acesso a “uma parte significativa” de seus servidores bloqueada.

Ontario Health atHome não alertou imediatamente os pacientes sobre a violação, mas um MPP Liberal de Ontário deu o alarme mais de dois meses após o incidente. Mesmo assim, os detalhes do governo sobre o ataque eram escassos.

“Após uma investigação da OMS, eles notificaram o Ontario Health atHome de que a interrupção foi um ataque à segurança cibernética e que as informações de saúde foram violadas”, dizia um comunicado do ano passado.

Agora, relatórios internos e e-mails obtidos pela Global News confirmam que a violação foi, na verdade, um ransomware que bloqueou servidores e levou a semanas de confusão interna sobre quais dados foram comprometidos.

Chris Nyhuis, especialista em segurança cibernética e fundador da Vigilant, disse que embora existam ataques cibernéticos piores do que o ransomware, a divulgação rápida é fundamental para garantir que os pacientes afetados possam proteger suas informações pessoais.

“Depois que o ataque de ransomware acontece, os invasores fazem duas coisas. Eles criptografam todos os dados, mas também roubam os dados e os roubam primeiro”, explicou ele.

“A detecção precoce e a prevenção precoce, assim que alguém a tiver, são realmente importantes. Se um invasor roubar (informações de identificação), se você se proteger nas primeiras quatro semanas, provavelmente estará bem. Depois disso, eles vão usá-lo; ele estará disponível e seus dados desaparecerão.”

O governo disse ao Global News que divulgou o facto de ter ocorrido um ataque.

Uma mensagem obtida usando leis de liberdade de informação mostra que o ransomware foi “observado pela primeira vez” acessando um sistema OMS em 17 de março de 2025.

Menos de um mês depois, em 13 de abril, “a carga útil do ransomware foi acionada”, sugerindo que o malware havia sido ativado.

Foi então, mostram as mensagens, que “a OMS descobriu o ataque”, que se estima ter afetado cerca de 200 mil pacientes e incluía “nome, informações de contato e suprimentos ou equipamentos médicos encomendados”.

O deputado liberal Adil Shamji, que revelou o ataque pela primeira vez em junho passado, levando o governo a confirmá-lo, disse que a revelação de que o ataque cibernético foi um ransomware é fundamental.

“É alarmante que a escala da violação de privacidade, a violação de informações pessoais de saúde, tenha sido tão grande”, disse ele.

“Até este exato momento, as pessoas que foram afetadas por isso e que potencialmente tiveram suas informações roubadas por um malfeitor nunca souberam o quanto corriam o risco que realmente corriam.”

O Ministério da Saúde disse que a OMS é uma empresa privada e que nenhum resgate foi exigido da província ou da Ontario Health atHome.

A OMS não respondeu antes da publicação, mas publicou uma declaração no ano passado.

“Determinamos que uma quantidade limitada de dados incompletos foi exfiltrada durante o incidente… não há evidências de que quaisquer informações financeiras pessoais ou dados críticos de saúde tenham sido exfiltrados. Também não há evidências de que qualquer informação tenha sido mal utilizada”, dizia parte da declaração.

“A salvaguarda das informações pessoais de saúde que nos são confiadas é a nossa principal prioridade e estamos empenhados em apoiar quaisquer clientes que tenham preocupações ou possam ter sido afetados por este incidente.”

Em resposta a perguntas do Global News sobre por que o governo não divulgou a natureza exata do incidente, um porta-voz do Ministério da Saúde sugeriu que bastava dizer que se tratava de um ataque cibernético.

“Desde o início, ficou claro para a Global News e outros meios de comunicação que o incidente envolvendo informações pessoais de saúde em um dos fornecedores da Ontario Health atHome, Ontario Medical Supply (OMS), foi um ataque de segurança cibernética”, escreveram.

“Relatar de outra forma é factualmente incorreto e seria enganoso para seus leitores.”

Ontario Health atHome não respondeu às perguntas.

Linha do tempo

• 17 de março de 2025: Acesso observado mais cedo aos sistemas OMS.
• 13 de abril de 2025: A “carga útil” do ransomware é acionada.
• 14 de abril de 2025: Os sistemas da OMS falham, indicando que ocorreu uma violação e a Ontario Health atHome foi informada.
• 21 de maio de 2025: A OMS confirma que as informações dos pacientes foram comprometidas como parte do incidente cibernético.
• 30 de maio de 2025: A Comissão de Informação e Privacidade é informada sobre o incidente cibernético, incluindo possíveis dados do paciente.
• 27 de junho de 2025: O MPP Liberal de Ontário, Adil Shamji, revela um incidente cibernético, o governo o confirma e ordena que Ontario Health atHome informe os pacientes.
• 9 de março de 2026: O ataque cibernético foi confirmado como ransomware.

Há uma diferença entre um ataque cibernético – que pode abranger uma variedade de problemas – e um ransomware.

“Um ataque cibernético pode ser qualquer coisa, desde um invasor se infiltrando manualmente em uma organização e roubando dados ou interrompendo a infraestrutura”, explicou Nyhuis.

“Isso pode significar que eles encontraram uma ameaça incorporada – porque muitas vezes um invasor se incorpora silenciosamente e apenas espera porque quer voltar mais tarde e fazer alguma coisa – até coisas como ransomware, onde ele apenas criptografa toda a infraestrutura e a coloca completamente offline.”

Shamji disse estar preocupado com o fato de o governo não ter divulgado o fato de que o ataque foi de ransomware.

“Eles têm a obrigação de divulgar, uma obrigação que não cumpriram”, disse ele.