Especialistas em cibersegurança e o jornal The New York Times apontaram o governo russo como responsável pelo ataque cibernético destrutivo à Jaguar Land Rover (JLR) em 2025, que paralisou a produção por cinco semanas e causou danos estimados em US$ 2,5 bilhões à economia britânica. Sem pedido de resgate, o episódio é classificado como sabotagem patrocinada por Estado — um marco na evolução da guerra cibernética.
Resumo: Investigação revelou que hackers ligados à Rússia usaram ransomware como ferramenta de destruição contra a JLR. A Microsoft rastreou os atacantes e alertou a montadora. A ausência de exigência de resgate, o uso de ransomware com algoritmo inédito e o timing estratégico (véspera de lançamento de veículo) fortalecem a tese de sabotagem estatal.
Um ataque sem resgate
Um dos elementos que mais chama a atenção dos investigadores é a ausência de qualquer pedido de resgate. “Quando a JLR foi hackeada, ninguém pediu dinheiro”, afirmou Pete Chronis, ex-CISO da Paramount e agora sócio de VC, em publicação no LinkedIn. “Gangs de ransomware travam seus sistemas porque querem pagamento. Quem atingiu a JLR não queria. Sem demanda, sem negociação. Queriam a empresa no chão.”
Essa característica é central para a atribuição. Ataques de ransomware tradicionais são motivados por lucro; este teve objetivo estritamente destrutivo, alinhado com interesses geopolíticos. A Rússia teria utilizado táticas criminosas para criar dúvida suficiente sobre a autoria e limitar uma resposta diplomática.
“Adversários acreditam que podem impedir reações apropriadas de nações democráticas plantando sementes de dúvida”, afirmou Cynthia Kaiser, vice-presidente do Halcyon Ransomware Research Center e ex-vice-diretora de ciber do FBI.
Indícios de envolvimento russo
- Sem resgate: Nenhuma demanda financeira foi feita à JLR, descartando motivação criminosa tradicional.
- Ransomware inédito: O malware utilizado apresentava um algoritmo de criptografia descrito como “impressionante” por especialistas, diferente de qualquer variante conhecida, indicando desenvolvimento patrocinado por Estado.
- Timing estratégico: O ataque ocorreu imediatamente antes de um lançamento de novo veículo, maximizando o impacto operacional.
- Alvo geopolítico: A frota Land Rover mantém laços estreitos com a família real britânica e forças armadas do Reino Unido.
- Monitoramento da Microsoft: A Microsoft rastreou os atacantes russos e alertou a JLR antes que o ataque fosse concluído.
- Obfuscação de autoria: O grupo Scattered Lapsus$ Hunters reivindicou o ataque, possivelmente como operação de distração para confundir investigadores.
Danos à Jaguar Land Rover
| Métrica | Valor |
|---|---|
| Paralisação da produção | 5 semanas |
| Dano total à economia britânica | £1,9 bilhão (~US$ 2,5 bilhões) |
| Prejuízo fiscal da JLR (2026) | ~US$ 350 milhões |
| Engenharia social no ataque | Nenhuma (via técnica direta) |
| Classificação | Ataque mais destrutivo da história britânica |
Ashish Shrestha, CEO da Zyn Global e ex-CISO do grupo JLR no momento do ataque, confirmou que os atacantes pediram que a empresa não envolvesse as autoridades policiais nas primeiras 24 horas. A equipe de Shrestha ignorou a exigência e manteve a coordenação com agências de segurança desde o início. “Continuidade de negócios não é apenas voltar, é voltar mais forte”, avaliou.
O relatório do NYT também revelou que um hacker jordaniano conhecido como “Rey” invadiu parte da rede da JLR de forma independente dos russos, adicionando complexidade à investigação.
Lições para organizações
- Distinguir crime de sabotagem: Um ataque sem exigência de resgate pode indicar motivação estatal. Equipes de resposta devem avaliar o contexto geopolítico ao investigar incidentes.
- Segurança da cadeia de suprimentos: A Microsoft detectou os atacantes antes da JLR — ter feeds de inteligência de ameaças de terceiros é essencial.
- Não negociar com atacantes: A JLR manteve coordenação com law enforcement desde o início, apesar das ameaças, acelerando a resposta forense.
- Resiliência técnica: A recuperação levou cinco semanas. Backups offline testados e segmentação de rede reduzem o tempo de inatividade em ataques destrutivos.
- Planejar para o pior cenário: Ataques estatalmente patrocinados usam ferramentas e técnicas mais sofisticadas do que grupos criminosos convencionais. Simulações de adversário com nível APT devem ser parte do programa de segurança.
Fontes
The New York Times — A $2.5 Billion Whodunit: The Hack That Dented the U.K. Economy
Infosecurity Magazine — Russian Hackers Accused of Destructive Cyber-Attack on Jaguar Land Rover
TechCrunch — Russian hackers were behind $2.5B hack of Jaguar Land Rover
Leia também: FBI alerta: russos roubam sua chave de backup do Signal | INC Ransomware passa de 830 vítimas e mira o Brasil