Ransomware Gentlemen reivindica ataque que paralisa Mackay Sugar, 2ª maior produtora de açúcar da Austrália, em plena safra

O grupo de ransomware Gentlemen reivindicou esta semana o ataque que paralisou a Mackay Sugar, segunda maior produtora de açúcar da Austrália, desde 10 de junho. Dois dos três engenhos da empresa – Racecourse e Farleigh – seguem desligados em plena safra de cana-de-açúcar, afetando produtores da região de Mackay, em Queensland, e exportações para Coreia do Sul, Japão, Indonésia e Malásia. A companhia, que fatura mais de US$ 420 milhões por ano, confirmou que terceiros acessaram parte de seu ambiente de TI e investiga o que pode ter sido roubado.

O que aconteceu

O ataque ocorreu poucos dias após o início da temporada anual de colheita, que é a janela crítica de receita do setor sucroalcooleiro. Com a moagem paralisada nas usinas Racecourse e Farleigh, milhares de produtores de cana ficaram sem destino imediato para a matéria-prima, que precisa ser processada em poucas horas após o corte para não perder rendimento de sacarose. A terceira unidade da Mackay Sugar escapou por estar fora de operação no momento do incidente, mas seu retorno depende da reabertura completa do ecossistema de TI da empresa.

A empresa não confirmou formalmente o envolvimento dos Gentlemen, mas reconheceu em comunicado oficial que tomou conhecimento da reivindicação publicada no site de vazamentos do grupo na dark web e encontrou evidências de acesso externo aos sistemas. A Mackay Sugar afirma que está “trabalhando com urgência” para verificar a extensão e a natureza dos dados eventualmente exfiltrados, sem detalhar se já houve contato com os atacantes.

Como o ataque funciona

Os Gentlemen surgiram no final de 2025 e, em poucos meses, se firmaram como um dos grupos mais ativos do ano. A operação adota o modelo Ransomware-as-a-Service (RaaS), oferecendo aos afiliados até 90% do valor pago em resgates – uma das fatias mais agressivas do mercado, projetada para atrair operadores com track record. A combinação clássica de criptografia de sistemas e exfiltração de dados (dupla extorsão) é o método padrão, com publicação progressiva de amostras na dark web se o pagamento não vier.

“Reconhecemos o impacto que este incidente está tendo sobre nossos produtores e estamos fazendo tudo o que podemos para apoiá-los e retomar com segurança as operações completas o mais rápido possível.”

Mackay Sugar

Pesquisadores observam que vários dos operadores por trás dos Gentlemen têm passagens prévias por grupos como Qilin, Embargo, LockBit, Medusa e BlackLock – o que ajuda a explicar a velocidade com que a operação amadureceu. Embora as origens permaneçam desconhecidas, indícios apontam para fundadores de língua russa, repetindo o padrão da maior parte das franquias de RaaS ativas hoje.

Riscos para o setor

• Janela de safra é o pior momento para indisponibilidade: cana cortada sem moagem perde sacarose em horas e vira prejuízo direto ao produtor;
• Encadeamento de prejuízos para milhares de produtores rurais, transportadores, prestadores logísticos e portos exportadores em Queensland;
• Risco de vazamento de contratos, listas de produtores, dados bancários, propriedade intelectual industrial e e-mails internos no site de leak dos Gentlemen;
• Pressão regulatória adicional: a Austrália obriga vítimas de ransomware a reportar ao governo qualquer pagamento de extorsão.

Análise

O ataque à Mackay Sugar é mais um capítulo de uma tendência clara: grupos de ransomware estão deliberadamente mirando elos críticos do agronegócio, especialmente em momentos sazonais em que a pressão pelo pagamento é máxima. O playbook foi visto em escala nos ataques à JBS (2021), à New Cooperative (2021), à AGCO (2022) e, no Brasil, em incidentes recentes em frigoríficos e cooperativas. A lógica é estatística: a vítima tem janela curta, perecibilidade do produto e fluxo de caixa apertado – o cálculo do atacante é que o resgate sai mais barato que o prejuízo da paralisação.

A escolha pelo modelo RaaS com share de 90% explica a profissionalização dos Gentlemen em tão pouco tempo. Esse arranjo – inédito até dois anos atrás, quando o padrão eram fatias de 70-80% – cria um mercado de talentos hiperaquecido: afiliados experientes migram para o grupo que paga mais e levam consigo TTPs (táticas, técnicas e procedimentos) maduros. Para defensores, isso significa que mesmo um grupo “novo” pode operar com sofisticação de veteranos desde o primeiro dia.

O caso australiano também levanta a questão da regulação de pagamentos. A Austrália tornou-se referência global ao exigir notificação compulsória de qualquer pagamento de resgate, e o setor de cibersegurança observa de perto se a Mackay Sugar resistirá à tentação do pagamento – decisão que costuma definir o tom para outras vítimas do mesmo grupo nos meses seguintes. No Brasil, onde frigoríficos, cooperativas e empresas de logística do agro têm sofrido incidentes semelhantes sem reportagem pública, o desfecho do caso ajuda a moldar expectativas regulatórias que devem chegar em breve.

Recomendações práticas

• Mantenha backups imutáveis, offline e testados regularmente para restaurar operações críticas sem depender dos atacantes;
• Segmente redes de TI e tecnologia operacional (OT) de modo a impedir que o comprometimento administrativo paralise a planta industrial;
• Implemente MFA resistente a phishing em todos os acessos remotos, incluindo VPN, RDP, jump hosts e portais de fornecedores;
• Exercite o plano de resposta a incidentes (IR) com cenários específicos de paralisação de safra ou pico operacional;
• Tenha contratos prévios com firmas de IR, advogados especializados e comunicação de crise para acelerar a tomada de decisão;
• Monitore EDR para indicadores de operações pré-criptografia: descoberta de Active Directory, criação de shares, uso de ferramentas como AdFind, Rclone e PsExec;
• Mapeie e contenha o blast radius de credenciais privilegiadas; restrinja o uso de contas de domain admin a estações dedicadas.

Fonte: The Record