A Jaguar Land Rover (JLR) reportou custos diretos de quase £200 milhões relacionados ao ataque cibernético que sofreu em agosto. O valor inclui principalmente o gasto com consultores especializados contratados para lidar com o incidente — empresas de cibersegurança, perícia forense digital, advogados e especialistas em recuperação de sistemas. Mas atenção: esse é apenas o custo imediato da resposta ao ataque.
O buraco financeiro real foi muito maior. A receita da empresa despencou mais de £1 bilhão, uma queda de 24%, caindo para £4,9 bilhões no trimestre. A JLR passou de um lucro antes de impostos de quase £400 milhões no mesmo período de 2024 para um prejuízo de £485 milhões. E tem mais: esses £196 milhões não incluem o impacto de vendas perdidas nem outros custos como aumentos nos gastos de engenharia.
O impacto foi além das quatro paredes da montadora. O Cyber Monitoring Centre estimou que o ataque custou ao Reino Unido aproximadamente £1,9 bilhão, cerca de US$ 2,5 bilhões (mais de R$ 14 bilhões). Para ter uma ideia da dimensão, esse valor supera até o prejuízo causado pelo WannaCry em 2017, que foi um dos ransomwares mais famosos da história. O Banco da Inglaterra chegou a declarar que o hack foi tão grave que impactou o PIB do país.
O que aconteceu na prática
O ransomware atingiu a montadora britânica num domingo, dia 31 de agosto. O timing foi escolhido a dedo pelos criminosos. Fim de semana é quando as equipes de segurança estão reduzidas e a detecção tende a ser mais lenta. Quando a segunda-feira chegou, a JLR tinha perdido completamente o controle de suas operações. Não foi só um sistema que caiu ou uma planta que teve problemas — todas as fábricas da JLR no mundo pararam de funcionar ao mesmo tempo.
A empresa não conseguia mais rastrear peças, veículos e ferramentas nas fábricas. Os softwares usados para vender e dar assistência aos carros em todo o mundo também ficaram inacessíveis.
Para entender a complexidade do problema: um Range Rover tem cerca de 30 mil componentes distintos fornecidos por centenas de empresas diferentes. Sem acesso aos sistemas, não tinha como saber o que estava onde, o que precisava ser pedido ou o que deveria ser montado. Foi um apagão completo da inteligência operacional da empresa.
O tamanho do prejuízo
As linhas de produção ficaram paradas por várias semanas. Os sistemas das concessionárias entravam e saíam do ar de forma intermitente. Os fornecedores enfrentaram pedidos cancelados ou atrasados, sem certeza de quando receberiam novas demandas. A JLR levou quase quatro semanas só para anunciar que estava perto de retomar a manufatura, e todas as instalações só reiniciaram operações no mês passado.
Quando você soma tudo — produção parada (mais de mil carros por dia deixando de ser fabricados), vendas que não aconteceram, clientes insatisfeitos, contratos quebrados com fornecedores —, o prejuízo real vai muito além dos £200 milhões reportados pela empresa.
O efeito dominó nas empresas menores
Aqui é onde o ataque mostra sua face mais cruel. A pesquisa indica que cerca de 5 mil empresas em todo o Reino Unido foram atingidas pelo efeito dominó do ataque à JLR. Não estamos falando só de grandes corporações que conseguem absorver o impacto. Muitos desses fornecedores são pequenas e médias empresas altamente dependentes da montadora.
Essas empresas ficaram quase um mês sem receber pagamentos da JLR. Sem dinheiro entrando, muitas enfrentaram severas dificuldades financeiras. Relatórios apontam que 25% delas já tinham começado a fazer demissões durante a crise, e outras 20% a 25% estavam prestes a começar os cortes. Imagine ser dono de uma empresa com 50 funcionários que fabrica um componente específico para a JLR e de repente seus pedidos somem por semanas. A conta não fecha.
Isso levanta uma questão importante que a gente precisa discutir mais na cobertura de cibersegurança: será que grandes empresas deveriam considerar ajudar a garantir a sobrevivência financeira de suas cadeias de suprimento criticamente dependentes durante interrupções causadas por ataques cibernéticos? Porque no fim das contas, se esses fornecedores quebrarem, a própria JLR perde capacidade de produção no longo prazo.
Como funciona um ransomware industrial
Embora a JLR não tenha divulgado todos os detalhes técnicos — o que é compreensível do ponto de vista de segurança —, as características conhecidas do evento são consistentes com um ataque de ransomware. Basicamente, os criminosos conseguiram acesso aos sistemas da empresa, provavelmente criptografaram ou ameaçaram deletar dados críticos, e exigiram pagamento para restaurar o acesso.
O que torna esses ataques contra infraestruturas industriais particularmente perigosos é o nível de integração dos sistemas. Não é como hackear um computador isolado. Nas fábricas modernas, tudo está conectado: sistemas de planejamento de produção, controle de estoque, logística, qualidade, vendas, assistência técnica. Quando os criminosos conseguem penetrar nessa rede, o estrago é sistêmico.
Cinco semanas de paralisia total numa operação do porte da JLR é um cenário de pesadelo para qualquer profissional de segurança da informação. E levanta questões preocupantes: como os atacantes conseguiram esse nível de acesso? Quais foram os vetores de entrada? Os sistemas industriais tinham segmentação adequada? Havia backups isolados que poderiam ter acelerado a recuperação?
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.