20 de junho de 2026

Ransomware Gentlemen reivindica ataque que paralisa Mackay Sugar, 2ª maior produtora de açúcar da Austrália, em plena safra

20 de junho de 2026

Dois dos três engenhos da Mackay Sugar seguem parados desde 10 de junho em meio à safra de cana em Queensland; grupo Gentlemen, RaaS surgido no fim de 2025, ameaça vazar dados se resgate não for pago.

Mackay Sugar Ransomware Gentlemen

O grupo de ransomware Gentlemen reivindicou esta semana o ataque que paralisou a Mackay Sugar, segunda maior produtora de açúcar da Austrália, desde 10 de junho. Dois dos três engenhos da empresa – Racecourse e Farleigh – seguem desligados em plena safra de cana-de-açúcar, afetando produtores da região de Mackay, em Queensland, e exportações para Coreia do Sul, Japão, Indonésia e Malásia. A companhia, que fatura mais de US$ 420 milhões por ano, confirmou que terceiros acessaram parte de seu ambiente de TI e investiga o que pode ter sido roubado.

O que aconteceu

O ataque ocorreu poucos dias após o início da temporada anual de colheita, que é a janela crítica de receita do setor sucroalcooleiro. Com a moagem paralisada nas usinas Racecourse e Farleigh, milhares de produtores de cana ficaram sem destino imediato para a matéria-prima, que precisa ser processada em poucas horas após o corte para não perder rendimento de sacarose. A terceira unidade da Mackay Sugar escapou por estar fora de operação no momento do incidente, mas seu retorno depende da reabertura completa do ecossistema de TI da empresa.

A empresa não confirmou formalmente o envolvimento dos Gentlemen, mas reconheceu em comunicado oficial que tomou conhecimento da reivindicação publicada no site de vazamentos do grupo na dark web e encontrou evidências de acesso externo aos sistemas. A Mackay Sugar afirma que está “trabalhando com urgência” para verificar a extensão e a natureza dos dados eventualmente exfiltrados, sem detalhar se já houve contato com os atacantes.

Como o ataque funciona

Os Gentlemen surgiram no final de 2025 e, em poucos meses, se firmaram como um dos grupos mais ativos do ano. A operação adota o modelo Ransomware-as-a-Service (RaaS), oferecendo aos afiliados até 90% do valor pago em resgates – uma das fatias mais agressivas do mercado, projetada para atrair operadores com track record. A combinação clássica de criptografia de sistemas e exfiltração de dados (dupla extorsão) é o método padrão, com publicação progressiva de amostras na dark web se o pagamento não vier.

“Reconhecemos o impacto que este incidente está tendo sobre nossos produtores e estamos fazendo tudo o que podemos para apoiá-los e retomar com segurança as operações completas o mais rápido possível.”

Mackay Sugar

Pesquisadores observam que vários dos operadores por trás dos Gentlemen têm passagens prévias por grupos como Qilin, Embargo, LockBit, Medusa e BlackLock – o que ajuda a explicar a velocidade com que a operação amadureceu. Embora as origens permaneçam desconhecidas, indícios apontam para fundadores de língua russa, repetindo o padrão da maior parte das franquias de RaaS ativas hoje.

Riscos para o setor

  • Janela de safra é o pior momento para indisponibilidade: cana cortada sem moagem perde sacarose em horas e vira prejuízo direto ao produtor;
  • Encadeamento de prejuízos para milhares de produtores rurais, transportadores, prestadores logísticos e portos exportadores em Queensland;
  • Risco de vazamento de contratos, listas de produtores, dados bancários, propriedade intelectual industrial e e-mails internos no site de leak dos Gentlemen;
  • Pressão regulatória adicional: a Austrália obriga vítimas de ransomware a reportar ao governo qualquer pagamento de extorsão.

Análise

O ataque à Mackay Sugar é mais um capítulo de uma tendência clara: grupos de ransomware estão deliberadamente mirando elos críticos do agronegócio, especialmente em momentos sazonais em que a pressão pelo pagamento é máxima. O playbook foi visto em escala nos ataques à JBS (2021), à New Cooperative (2021), à AGCO (2022) e, no Brasil, em incidentes recentes em frigoríficos e cooperativas. A lógica é estatística: a vítima tem janela curta, perecibilidade do produto e fluxo de caixa apertado – o cálculo do atacante é que o resgate sai mais barato que o prejuízo da paralisação.

A escolha pelo modelo RaaS com share de 90% explica a profissionalização dos Gentlemen em tão pouco tempo. Esse arranjo – inédito até dois anos atrás, quando o padrão eram fatias de 70-80% – cria um mercado de talentos hiperaquecido: afiliados experientes migram para o grupo que paga mais e levam consigo TTPs (táticas, técnicas e procedimentos) maduros. Para defensores, isso significa que mesmo um grupo “novo” pode operar com sofisticação de veteranos desde o primeiro dia.

O caso australiano também levanta a questão da regulação de pagamentos. A Austrália tornou-se referência global ao exigir notificação compulsória de qualquer pagamento de resgate, e o setor de cibersegurança observa de perto se a Mackay Sugar resistirá à tentação do pagamento – decisão que costuma definir o tom para outras vítimas do mesmo grupo nos meses seguintes. No Brasil, onde frigoríficos, cooperativas e empresas de logística do agro têm sofrido incidentes semelhantes sem reportagem pública, o desfecho do caso ajuda a moldar expectativas regulatórias que devem chegar em breve.

Recomendações práticas

  • Mantenha backups imutáveis, offline e testados regularmente para restaurar operações críticas sem depender dos atacantes;
  • Segmente redes de TI e tecnologia operacional (OT) de modo a impedir que o comprometimento administrativo paralise a planta industrial;
  • Implemente MFA resistente a phishing em todos os acessos remotos, incluindo VPN, RDP, jump hosts e portais de fornecedores;
  • Exercite o plano de resposta a incidentes (IR) com cenários específicos de paralisação de safra ou pico operacional;
  • Tenha contratos prévios com firmas de IR, advogados especializados e comunicação de crise para acelerar a tomada de decisão;
  • Monitore EDR para indicadores de operações pré-criptografia: descoberta de Active Directory, criação de shares, uso de ferramentas como AdFind, Rclone e PsExec;
  • Mapeie e contenha o blast radius de credenciais privilegiadas; restrinja o uso de contas de domain admin a estações dedicadas.

Fonte: The Record

Matérias Relacionadas

Splunk CVE-2026-20253

Splunk Enterprise sob exploração ativa via falha RCE sem autenticação no sidecar PostgreSQL (CVE-2026-20253); CISA dá prazo até 21 de junho

20 de junho de 2026
Gravity SMTP WordPress CVE-2026-4020

Hackers exploram falha no plugin Gravity SMTP do WordPress (CVE-2026-4020) e roubam chaves de API em 100 mil sites

20 de junho de 2026
klue-salesforce-breach.jpg

Salesforce desativa app Klue apos abuso de tokens OAuth expor dados de clientes

19 de junho de 2026

Veja mais..

Splunk CVE-2026-20253

Splunk Enterprise sob exploração ativa via falha RCE sem autenticação no sidecar PostgreSQL (CVE-2026-20253); CISA dá prazo até 21 de junho

20 de junho de 2026
Mackay Sugar Ransomware Gentlemen

Ransomware Gentlemen reivindica ataque que paralisa Mackay Sugar, 2ª maior produtora de açúcar da Austrália, em plena safra

20 de junho de 2026
Gravity SMTP WordPress CVE-2026-4020

Hackers exploram falha no plugin Gravity SMTP do WordPress (CVE-2026-4020) e roubam chaves de API em 100 mil sites

20 de junho de 2026
klue-salesforce-breach.jpg

Salesforce desativa app Klue apos abuso de tokens OAuth expor dados de clientes

19 de junho de 2026
cryptobandits-malware.jpg

CryptoBandits: malware Windows usa Tor para roubar carteiras cripto e abrir backdoor

19 de junho de 2026
Social Media Auto Publish Powered By : XYZScripts.com