Um ataque hacker ocorrido no início do mês de março destruiu todos os arquivos da Secretaria de Estado de Saúde, comandada por Gilberto Figueiredo, e que poderiam ser utilizados nas investigações da Comissão Parlamentar de Inquérito (CPI) da Saúde, na Assembleia Legislativa.
Documentos, relatos, relatórios e outras informações obtidas pelo PNB Online indicam que a SES perdeu 200 Terabytes (TB) de arquivos. Para se ter uma ideia do tamanho da destruição, se esses 200 TB fossem convertidos em documentos de texto padrão do Word (comprimidos/impressos), eles renderiam cerca de 100 bilhões de páginas.
A SES tentou evitar, desde março, que o assunto vazasse à imprensa. A Delegacia Especializada de Repressão a Crimes Informáticos (DRCI) abriu inquérito sigiloso sobre o assunto.
Chamou a atenção dos investigadores que o hacker utilizou do sistema LockBit, uma gangue de crimes cibernéticos que utiliza um ransomware normalmente autorizado a partir da execução na rede interna.
Outro fato curioso para os investigadores foi a tática utilizada pelo hacker: ele cobrou 500 mil dólares em bitcoin pelos dados sequestrados e afirmou que, caso os documentos fossem publicados, o prejuízo para a Secretaria de Estado de Saúde seria de 4 milhões a 7 milhões de dólares.
Apesar de não ter recebido nenhum valor pelos arquivos, o hacker não publicou os documentos. Investigação da Polícia Civil identificou apenas que foi publicada, na DeepWeb, a árvore de arquivos sequestrados durante o ataque.
Nesta árvore, que consiste na relação de quais arquivos foram criptografados, estão documentos de auditorias internas que poderiam ser usados na CPI da Saúde. A reportagem do PNB Online identificou arquivos como relatórios e planilhas de produção de empresas como LGI Médicos, Bone Medicina Especializada, Intensive Care e outras que foram investigadas na Operação Espelho.
A Bone Medicina, citada na árvore de arquivos sequestradas no ataque, é apresentada em diálogo em que o nome do ex-governador Mauro Mendes (União) aparece nas investigações da Operação Espelho. Em uma conversa detectada pela polícia, o médico Gustavo Ivoglo afirmou saber como foi a formação da sociedade, citando que o médico Alberto Pires de Almeida virou sócio da Bone porque “operou a esposa do governador”.
“Não sei se você sabe a história aí de como que o Alberto entrou na empresa lá com eles, que foi meio goela abaixo com o negócio do governador, que ele operou a esposa do governador e pediu pra eles darem um apoio pra entrar na empresa, algo assim. E nesse meio tempo eles tentaram tirar o Alberto já, que teoricamente estava sendo sócio deles, e eles tentaram tirar. Eles não são pessoas muito confiáveis e acho que eles vão passar a perna na primeira oportunidade”, avaliou Ivoglo.
Além do ex-governador, o ex-secretário Gilberto Figueiredo é suspeito de lavagem de dinheiro por operações conectadas à Secretaria de Saúde. Um Relatório de Inteligência Financeira (RIF) feito pela Polícia Federal demonstrou movimentação financeira atípica de R$ 15 milhões. As investigações começaram com a Operação Panaceia, deflagrada para investigar um suposto esquema de fraude em licitação durante o período da pandemia e culminou na prisão do diretor do Hospital Regional de Cáceres. Os documentos do Hospital de Cáceres também foram capturados pelo ataque hacker.
Chamou a atenção dos investigadores que, dois meses antes do ataque, a SES impossibilitou o acesso de servidores públicos aos documentos da rede sob a justificativa de estar realizando “auditoria”.
“Comunico que, a partir do dia 12 (doze) de janeiro de 2026, ocorrerá uma reorganização das pastas compartilhadas na rede de computadores e que o acesso se dará por duas pastas, sendo: uma pasta compartilhada para os arquivos correntes do ano de 2026 (que não conterá nenhum arquivo) e outra pasta compartilhada com todos os arquivos de anos anteriores, exclusivamente para consulta”, diz um documento interno da SES.
O ataque, por coincidência, também ocorreu em um momento em que os sistemas de rede dos órgãos públicos de Mato Grosso estavam desprotegidos, sem licença e sem contratualização. A Empresa Mato-Grossense de Tecnologia da Informação (MTI) havia lançado licitação para garantir a proteção, no início do ano, mas suspendeu logo em seguida, a poucos dias do certame.
O que diz a Secretaria de Estado de Saúde
Em resposta aos questionamentos enviados à reportagem a SES informou que abriu boletim de ocorrência sobre o assunto e que o caso foi comunicado à Agência Nacional de Proteção de Dados (ANPD).
Ainda segundo a SES, não houve nenhuma auditoria antes do ataque hacker que tenha gerado “indisponibilidade generalizada de documentos ou sistemas da rede institucional nos moldes mencionados”.
“Durante o processo de investigação e resposta ao incidente, foram realizadas análises técnicas visando identificar vulnerabilidades, vetores de ataque e possíveis fragilidades exploradas. As conclusões e informações detalhadas encontram-se sob apuração técnica e investigação especializada”, diz a manifestação da pasta.
A SES também informou que os “dados afetados” foram recuperados “por meio dos mecanismos de contingência, redundância e recuperação adotados pela infraestrutura tecnológica responsável, permitindo o restabelecimento das informações necessárias à continuidade dos serviços.”
A Secretaria foi questionada se poderia disponibilizar alguma documentação que comprove a recuperação dos arquivos, uma vez que ataques do tipo, com dados criptografados, só são revertidos com o pagamento do que foi pedido. No entanto, nenhuma resposta foi enviada.
A SES também afirmou que não houve pagamento ao hacker e que não há elementos que comprovem a responsabilidade do ex-secretário Gilberto Figueiredo e do atual secretário, Juliano Melo, no incidente.
A Polícia Civil e a MTI não responderam aos questionamentos enviados pela reportagem.
