Ransomware derruba usinas da segunda maior produtora de açúcar da Austrália

A Mackay Sugar foi atingida em plena temporada de moagem, período crítico em que usinas operam 24/7, com um ataque que não só criptografou sistemas de TI, mas também paralisou os controles industriais em duas unidades: Farleigh e Racecourse. Diferente de ataques anteriores que afetavam apenas dados administrativos, aqui houve impacto direto na camada OT: relatos confirmam que sistemas de supervisão de caldeiras, válvulas de vapor e sensores de fluxo de cana foram interrompidos, forçando a adoção de procedimentos manuais sob risco operacional elevado. O grupo The Gentlemen (Storm-2697) usou malware em Go com movimento lateral autônomo, capaz de se espalhar por redes em minutos, e desligou serviços de backup, SQL Server e Hyper-V antes da criptografia, uma tática que já apareceu em ataques à Foxconn e West Pharmaceutical Services.

O caso expõe uma falha estrutural: a convergência entre TI e OT na indústria agrícola-processual ainda é feita sem segmentação de rede, sem detecção de anomalias em protocolos industriais (como Modbus TCP ou DNP3) e sem inventário atualizado de ativos OT. A empresa não tem histórico de divulgação pública de arquitetura de segurança industrial, ao contrário da Itron, que reportou intrusão em abril, mas afirmou ter isolado a rede OT. Aqui, o silêncio sobre o estado dos ICS não é cautela: é sinal de que a equipe de segurança sequer sabe o que foi comprometido.

Em abril, a Itron relatou uma intrusão em sistemas internos, mas garantiu que não houve acesso a redes OT. Em maio, a Foxconn confirmou ataque em fábricas norte-americanas, mas limitou o impacto a TI e dados corporativos. Já na Mackay Sugar, há evidência concreta de quebra da barreira TI/OT: testes a vapor estão sendo feitos manualmente porque os controladores lógicos programáveis (CLPs) não reiniciaram automaticamente, indicativo de que o ransomware atingiu ou desabilitou os sistemas de automação. Isso é novo: pela primeira vez em 2026, um grupo de ransomware conseguiu derrubar operações físicas em tempo real em infraestrutura crítica fora do setor energético ou de água.

Isso não é só um problema australiano. A Mackay Sugar exporta para mais de 30 países e fornece insumos para refinarias europeias e asiáticas. Uma interrupção prolongada afeta preços globais de açúcar bruto, já pressionados por secas no Nordeste do Brasil e restrições logísticas na Índia. Mais grave: o ataque prova que grupos como The Gentlemen agora priorizam alvos com baixa maturidade em segurança OT, mesmo sem histórico de exposição na internet. Eles não precisam invadir SCADA diretamente, basta derrubar o sistema de ERP que alimenta as telas HMI, ou desligar servidores de virtualização que hospedam máquinas virtuais de controle. A lição é clara: se sua usina tem PLCs conectados à mesma VLAN do e-mail corporativo, você já está comprometido. Só não sabe ainda.