Foxconn confirma ataque cibernético em fábricas na América do Norte; gangue Nitrogen reivindica roubo de 8 TB de dados

A Foxconn, maior fabricante contratada de eletrônicos do mundo, confirmou ter sofrido um ataque cibernético que afetou diversas fábricas na América do Norte. A gangue de ransomware Nitrogen reivindicou a autoria e alega ter roubado 8 terabytes de dados, incluindo informações técnicas de grandes empresas de tecnologia clientes da Foxconn. A produção, segundo a companhia, está em processo de retomada após a ativação de mecanismos de resposta emergencial.

O que aconteceu

A fabricante taiwanesa Foxconn confirmou o incidente em comunicado, sem detalhar quantas plantas industriais foram afetadas. A empresa opera fábricas em Wisconsin, Ohio, Texas, Virgínia, Indiana e em diversas localidades do México – uma rede industrial que sustenta a produção de eletrônicos para clientes como Apple, Google, Microsoft e Cisco. Em 2025, a Foxconn reportou US$ 258,3 bilhões em receita.

O impacto operacional, segundo relato de um funcionário da fábrica de Wisconsin ao portal DysruptionHub, começou na sexta-feira com falhas no Wi-Fi corporativo. Computadores deixaram de funcionar, equipes foram dispensadas e tarefas precisaram ser executadas com papel e caneta – sintoma clássico de uma intrusão que escala rapidamente para criptografia ou para isolamento defensivo da rede.

Na segunda-feira seguinte, a gangue Nitrogen reivindicou publicamente o ataque, alegando ter exfiltrado 8 terabytes de dados e milhões de arquivos com informações técnicas de várias gigantes do setor tecnológico. O volume e a natureza dos dados, se confirmados, elevam o caso para uma das maiores violações industriais do ano.

Como o ataque funciona

O Nitrogen é classificado por pesquisadores de segurança como um grupo financeiramente motivado, ativo desde 2023, com origem na cena de desenvolvedores e operadores de malware. A linhagem é particularmente relevante: especialistas avaliam que a família ransomware foi construída a partir de um builder derivado do Conti, gangue desativada cujo código vazou em 2022 e segue alimentando dezenas de operações sucessoras.

A equipe de segurança cibernética ativou imediatamente o mecanismo de resposta e implementou múltiplas medidas operacionais para garantir a continuidade da produção e da entrega. As fábricas afetadas estão atualmente retomando a produção normal.

Porta-voz da Foxconn

O padrão observado – paralisação de redes locais, contaminação rápida de estações de trabalho e exfiltração paralela de grandes volumes de dados – segue a cartilha clássica do ransomware moderno: double extortion, com bloqueio operacional e ameaça de divulgação simultâneos. A escolha pela Foxconn é estratégica: por concentrar fabricação para múltiplas marcas, qualquer vazamento atinge não só a vítima direta, mas toda uma cadeia de clientes.

Quem é afetado

• Operações da Foxconn em Wisconsin, Ohio, Texas, Virgínia, Indiana e potenciais reflexos em fábricas mexicanas.
• Clientes finais cujos dados técnicos podem estar entre os arquivos exfiltrados – principalmente fabricantes que terceirizam montagem com a Foxconn.
• Cadeias logísticas e de suprimentos dependentes da produção de eletrônicos em curso, com risco de atrasos pontuais em lotes específicos.
• Funcionários e prestadores cujos dados pessoais e credenciais corporativas podem ter sido comprometidos durante a movimentação lateral do grupo.
• Parceiros de tecnologia operacional (OT) e fornecedores de automação industrial conectados aos ambientes industriais da Foxconn.

Análise

Esta não é a primeira investida contra a Foxconn. O segmento de semicondutores da empresa foi atacado pelo LockBit em 2024, o mesmo grupo invadiu fábricas mexicanas em 2022 e outra gangue de ransomware atingiu instalações no México em 2020. A reincidência é um sinal claro de que indústrias com cadeia global e clientes de alto valor agregado seguem sendo alvos prioritários – e que esforços de mitigação anteriores ainda deixam lacunas estruturais.

O caso Foxconn se encaixa em uma tendência mais ampla observada em 2025 e 2026: ataques contra indústrias manufatureiras, especialmente de eletrônicos, automotiva e semicondutores. Em paralelo, vimos campanhas relevantes contra a Panasonic, JBS, Toyota e diversos OEMs automotivos. O denominador comum é a forte dependência de TI corporativa interconectada com sistemas OT – quando a parte de TI cai, a planta inteira é forçada a parar por motivos de segurança operacional.

O ressurgimento de operações baseadas em builders do Conti é outro ponto crítico. Mesmo após o vazamento e a desativação aparente do grupo original, o código continua alimentando famílias como Nitrogen, BlackByte e outras. Para defensores, isso significa que muitos indicadores de compromisso e padrões de comportamento ainda valem para detecção, mas o cenário se fragmenta em dezenas de operações menores, mais difíceis de mapear individualmente.

Recomendações práticas

• Segmentar redes de TI e OT com firewalls industriais e zonas de quarentena – quando uma parte cai, a outra deve continuar operando com graceful degradation.
• Aplicar princípios de zero trust para sistemas críticos de produção: autenticação contínua, MFA para acesso a interfaces SCADA e MES, e visibilidade granular dos acessos.
• Implementar backups offline (air-gapped) e testar restauração regularmente – especialmente para bases de produção e parâmetros de qualidade.
• Adotar EDR/XDR em estações industriais e servidores de chão de fábrica, com regras específicas para comportamento de criptografia em massa e exfiltração via canais legítimos (RDP, RClone, MEGAsync).
• Manter playbook de resposta a incidentes industriais com etapas claras de containment – inclusive desligamento controlado de fábricas para preservar evidências.
• Auditar acessos de terceiros e prestadores: builders de ransomware costumam entrar via fornecedores de TI ou pelos próprios laptops de manutenção remota.
• Comunicar transparentemente clientes downstream cujos dados técnicos podem estar entre os arquivos exfiltrados, evitando ser surpreendido por divulgação pública pelo grupo.

Fonte: The Record