O Barts Health NHS Trust, do Reino Unido, confirmou que os atores do ransomware Cl0p acessaram e roubaram arquivos contendo dados de faturas de pacientes, funcionários e fornecedores. O trust afirmou que o material comprometido continha nomes e endereços relacionados a obrigações de pagamento por tratamentos ou serviços emitidos ao longo de vários anos. Os indivíduos afetados incluem pacientes que receberam faturas após o tratamento, funcionários cujos registros refletiam acordos de sacrifício salarial ou recuperações de pagamentos em excesso, e fornecedores cujos dados apareciam em grande parte dos documentos acessados. O trust também informou que o mesmo banco de dados continha registros contábeis do Barking Havering and Redbridge University Hospitals NHS Trust para trabalhos realizados desde abril de 2024. Esses registros podem ter feito parte do conjunto de dados comprometido.
A fundação afirmou que o incidente não afetou os registros eletrônicos dos pacientes nem os sistemas clínicos. Enfatizou que os arquivos afetados se referiam apenas a informações de faturas e faturamento, e não a registros médicos detalhados. De acordo com a divulgação, o trust tomou conhecimento da exposição em novembro de 2025, quando os arquivos foram identificados na dark web. A invasão ocorreu em agosto de 2025, mas o trust não tinha conhecimento do roubo de dados até que o material fosse carregado pelos atacantes meses depois.
A fundação indicou que as informações nos arquivos vazados não fornecem acesso direto às contas bancárias. Afirmou que os dados ainda poderiam ser usados em pedidos de pagamento fraudulentos ou golpes de confiança que dependem de dados pessoais precisos. Indivíduos que aparecem nos arquivos podem estar em risco de tentativas direcionadas de solicitar pagamentos ou de explorar informações relacionadas a faturas para fins criminosos. O trust incentivava as partes afetadas a manterem cautela ao revisar correspondências que fazem referência a faturas ou saldos pendentes.
A Barts Health afirmou que os atacantes exploraram uma vulnerabilidade zero-day no software Oracle E-Business Suite. Essa vulnerabilidade afetou várias organizações internacionalmente antes de um patch ser lançado. Segundo o trust, a falha permitia acesso não autorizado ao banco de dados de faturas. O trust afirmou que agiu para investigar a origem do ataque assim que os arquivos roubados foram descobertos online. Especialistas externos foram contratados e agências nacionais foram informadas. Notificações foram fornecidas ao NHS England, ao Centro Nacional de Segurança Cibernética e ao Serviço de Polícia Metropolitana. A fundação também reportou o incidente aos órgãos reguladores de dados relevantes.
A Barts Health está buscando uma ordem do Tribunal Superior destinada a impedir qualquer publicação, uso ou distribuição adicional das informações roubadas. O trust declarou que cooperaria com as autoridades legais para restringir o acesso aos arquivos sempre que possível. Também está trabalhando com fornecedores para revisar e fortalecer os controles de segurança existentes em sistemas que lidam com dados de faturas e contabilidade. A fundação afirmou que essas medidas fazem parte de um esforço de longo prazo para reduzir a exposição a ataques semelhantes.
O trust orientou indivíduos que receberam faturas durante o período relevante a revisarem esses documentos para determinar se seus dados poderiam fazer parte do conjunto de dados comprometido. Recomenda-se que as pessoas estejam atentas a comunicações inesperadas solicitando pagamento ou informações pessoais. O trust afirmou que fornecerá atualizações adicionais à medida que a investigação avançar e mais informações forem disponíveis.