Especialistas em cibersegurança e o jornal The New York Times apontaram o governo russo como responsável pelo ataque cibernético destrutivo à Jaguar Land Rover (JLR) em 2025, que paralisou a produção por cinco semanas e causou danos estimados em US$ 2,5 bilhões à economia britânica. Sem pedido de resgate, o episódio é classificado como sabotagem patrocinada por Estado — um marco na evolução da guerra cibernética.

Resumo: Investigação revelou que hackers ligados à Rússia usaram ransomware como ferramenta de destruição contra a JLR. A Microsoft rastreou os atacantes e alertou a montadora. A ausência de exigência de resgate, o uso de ransomware com algoritmo inédito e o timing estratégico (véspera de lançamento de veículo) fortalecem a tese de sabotagem estatal.

Um ataque sem resgate

Um dos elementos que mais chama a atenção dos investigadores é a ausência de qualquer pedido de resgate. “Quando a JLR foi hackeada, ninguém pediu dinheiro”, afirmou Pete Chronis, ex-CISO da Paramount e agora sócio de VC, em publicação no LinkedIn. “Gangs de ransomware travam seus sistemas porque querem pagamento. Quem atingiu a JLR não queria. Sem demanda, sem negociação. Queriam a empresa no chão.”

Essa característica é central para a atribuição. Ataques de ransomware tradicionais são motivados por lucro; este teve objetivo estritamente destrutivo, alinhado com interesses geopolíticos. A Rússia teria utilizado táticas criminosas para criar dúvida suficiente sobre a autoria e limitar uma resposta diplomática.

“Adversários acreditam que podem impedir reações apropriadas de nações democráticas plantando sementes de dúvida”, afirmou Cynthia Kaiser, vice-presidente do Halcyon Ransomware Research Center e ex-vice-diretora de ciber do FBI.

Indícios de envolvimento russo

  • Sem resgate: Nenhuma demanda financeira foi feita à JLR, descartando motivação criminosa tradicional.
  • Ransomware inédito: O malware utilizado apresentava um algoritmo de criptografia descrito como “impressionante” por especialistas, diferente de qualquer variante conhecida, indicando desenvolvimento patrocinado por Estado.
  • Timing estratégico: O ataque ocorreu imediatamente antes de um lançamento de novo veículo, maximizando o impacto operacional.
  • Alvo geopolítico: A frota Land Rover mantém laços estreitos com a família real britânica e forças armadas do Reino Unido.
  • Monitoramento da Microsoft: A Microsoft rastreou os atacantes russos e alertou a JLR antes que o ataque fosse concluído.
  • Obfuscação de autoria: O grupo Scattered Lapsus$ Hunters reivindicou o ataque, possivelmente como operação de distração para confundir investigadores.

Danos à Jaguar Land Rover

Métrica Valor
Paralisação da produção 5 semanas
Dano total à economia britânica £1,9 bilhão (~US$ 2,5 bilhões)
Prejuízo fiscal da JLR (2026) ~US$ 350 milhões
Engenharia social no ataque Nenhuma (via técnica direta)
Classificação Ataque mais destrutivo da história britânica

Ashish Shrestha, CEO da Zyn Global e ex-CISO do grupo JLR no momento do ataque, confirmou que os atacantes pediram que a empresa não envolvesse as autoridades policiais nas primeiras 24 horas. A equipe de Shrestha ignorou a exigência e manteve a coordenação com agências de segurança desde o início. “Continuidade de negócios não é apenas voltar, é voltar mais forte”, avaliou.

O relatório do NYT também revelou que um hacker jordaniano conhecido como “Rey” invadiu parte da rede da JLR de forma independente dos russos, adicionando complexidade à investigação.

Lições para organizações

  1. Distinguir crime de sabotagem: Um ataque sem exigência de resgate pode indicar motivação estatal. Equipes de resposta devem avaliar o contexto geopolítico ao investigar incidentes.
  2. Segurança da cadeia de suprimentos: A Microsoft detectou os atacantes antes da JLR — ter feeds de inteligência de ameaças de terceiros é essencial.
  3. Não negociar com atacantes: A JLR manteve coordenação com law enforcement desde o início, apesar das ameaças, acelerando a resposta forense.
  4. Resiliência técnica: A recuperação levou cinco semanas. Backups offline testados e segmentação de rede reduzem o tempo de inatividade em ataques destrutivos.
  5. Planejar para o pior cenário: Ataques estatalmente patrocinados usam ferramentas e técnicas mais sofisticadas do que grupos criminosos convencionais. Simulações de adversário com nível APT devem ser parte do programa de segurança.

Fontes

The New York Times — A $2.5 Billion Whodunit: The Hack That Dented the U.K. Economy

Infosecurity Magazine — Russian Hackers Accused of Destructive Cyber-Attack on Jaguar Land Rover

TechCrunch — Russian hackers were behind $2.5B hack of Jaguar Land Rover

Leia também: FBI alerta: russos roubam sua chave de backup do Signal | INC Ransomware passa de 830 vítimas e mira o Brasil