No ano passado, hackers se infiltraram nos sistemas de computador da Jaguar Land Rover, uma joia da manufatura britânica. Foi um ataque devastador que obrigou a Jaguar a bloquear seus computadores e suspender a produção por cinco semanas. O hack chegou até a afetar a economia mais ampla, tornando-se o ciberataque mais caro da história do país.
O ataque foi alarmante, mas também misterioso. Nunca houve pedido de dinheiro, como é comum nesse tipo de invasão. Um coletivo frouxo de hackers, que incluía alguns no Reino Unido, assumiu a autoria. A alegação levou a especulações na imprensa de que eles eram os responsáveis.
Não eram. Um grupo de hackers russos foi o responsável, segundo cinco pessoas familiarizadas com a investigação sobre o ataque. Elas falaram sob condição de anonimato devido à sensibilidade do caso.
Autoridades e especialistas em resposta cibernética do setor privado no Reino Unido e nos Estados Unidos concluíram que o ataque era diferente, em método e motivação, do coletivo de hackers inicialmente apontado, disseram quatro dessas pessoas.
As autoridades ainda tentam esclarecer os detalhes nebulosos do caso para determinar se os invasores agiam a mando do Kremlin ou com sua anuência tácita.
O ataque, ocorrido no fim de agosto de 2025, e seu impacto econômico foram amplamente noticiados. Em outubro, o jornal The Telegraph informou que as autoridades investigavam se a Rússia estava envolvida. A conclusão de investigadores do governo e de parte do setor privado de que o grupo era russo não havia sido divulgada anteriormente.
Continua depois da publicidade
Ataques realizados por grupos russos não são novidade. Ainda assim, o ataque à Jaguar — e o possível envolvimento do Estado russo — levanta a hipótese de que este não tenha sido um ataque típico por resgate, mas sim uma ofensiva contra a base econômica de um Estado soberano. O episódio alimentou temores antigos de que um país adversário possa paralisar remotamente infraestrutura crítica, como uma rede elétrica ou fabricantes estratégicos, gerando caos e danos econômicos.
A infiltração na Jaguar teve consequências profundas. Ela desacelerou a manufatura no terceiro trimestre de 2025, provocando um impacto estimado em US$ 2,5 bilhões na economia britânica, e custou à empresa cerca de US$ 350 milhões no ano fiscal de 2026.
Também carregava forte simbolismo. O rei Charles III e a rainha Camilla usam veículos Jaguar, e as Forças Armadas britânicas dependem há décadas da icônica frota de Land Rovers.
Continua depois da publicidade
Uma nova apuração do The New York Times revelou outros detalhes da investigação. A Microsoft (MSFT34), por exemplo, vinha monitorando o grupo russo e alertou a Jaguar sobre quem havia invadido seus sistemas, segundo quatro pessoas familiarizadas com o caso. Os hackers usaram um ransomware inédito, com um algoritmo de criptografia que alguns especialistas em cibersegurança jamais haviam visto em ataques anteriores. Um deles o descreveu como “impressionante”.
Dentro de uma sala de crise montada às pressas durante o episódio, a Jaguar reuniu investigadores de segurança cibernética e especialistas do setor privado. Entre os participantes estavam a National Crime Agency e o National Cyber Security Centre, do Reino Unido, além da Palo Alto Networks e da unidade Mandiant, do Google. O FBI também ajudou. Todos correram para conter o malware enquanto os hackers tentavam, às pressas, apagar seus rastros.
O ataque à Jaguar ocorreu em meio ao relacionamento cada vez mais hostil entre Rússia e Reino Unido, cujo apoio militar à Ucrânia irritou o Kremlin. O Reino Unido também realizou suas próprias operações secretas de invasão cibernética e sabotagem contra a Rússia, segundo ex-integrantes da inteligência britânica e americana.
Continua depois da publicidade
Um porta-voz da National Crime Agency do Reino Unido disse que, embora não possa comentar uma investigação em andamento, sabe que “alguns dos ciberataques mais notórios contra o Reino Unido são cometidos por criminosos que operam a partir da Rússia, e que alguns dos grupos responsáveis têm ligações com o Estado russo”.
A Jaguar Land Rover se recusou a comentar, citando a investigação em andamento pelas autoridades. O FBI também não comentou.
Dmitry Peskov, porta-voz do presidente russo Vladimir Putin, disse: “Não sabemos nada sobre isso”.
Continua depois da publicidade
Algumas pistas surgiram à medida que a investigação avançava. O ataque foi altamente orquestrado. Os hackers exploraram vulnerabilidades em tecnologias antigas e, em seguida, dispararam um ransomware avançado destinado a sequestrar as redes da empresa.
Leia também: Sistema de alertas do governo sai do ar após suspeita de ataque hacker
Especialistas dizem que esse tipo de técnica é mais comum entre Estados nacionais do que entre cibercriminosos em busca de grandes ganhos rápidos sem gastar muito dinheiro. Estados também podem financiar criminosos virtuais ou fornecer a eles ferramentas de invasão.
A Rússia é a maior fonte de cibercrime do mundo, e seus serviços de inteligência mantêm há muito tempo uma relação estreita com cibercriminosos para conduzir espionagem e realizar ataques, segundo agências de segurança ocidentais.
Alex Orleans, ex-prestador de serviços de cibersegurança para o governo dos EUA, comparou essa relação à existente entre o crime organizado e certas unidades do Departamento de Polícia de Nova York nas décadas de 1960 e 1970. “Assim como mafiosos ofereciam patronagem e recebiam proteção de certos policiais, o governo russo fornece krysha — um ‘teto’ — a agentes de crimes eletrônicos que operam a partir do território russo”, disse Orleans.
Em uma conferência sobre cibersegurança realizada em abril na Escócia, Dan Jarvis, recém-nomeado secretário de Defesa do Reino Unido e que na época do ataque era ministro da Segurança, disse que Estados hostis concluíram que “a forma mais eficaz não é nos confrontar diretamente, mas nos esvaziar silenciosamente”.
Determinar se o governo russo ordenou ao grupo hacker que sabotasse a Jaguar ou apenas deu aprovação tácita é uma tarefa difícil, mas não impossível.
Em 2024, o Reino Unido impôs sanções a um grupo russo chamado Evil Corp, um notório sindicato do cibercrime que opera a partir de Moscou e usava ransomware e outros malwares em seus ataques.
O grupo foi usado pelos serviços de inteligência russos para conduzir ataques e operações de espionagem contra aliados da OTAN e foi “muito além da relação típica entre Estado e criminosos, baseada em proteção, pagamentos e extorsão”, afirmou a National Crime Agency em um relatório conjunto de 2024 com o FBI e a Polícia Federal Australiana.
Mesmo antes do ataque à Jaguar, já havia indícios de que os sistemas da empresa haviam sido comprometidos. Em junho de 2025, um hacker divulgou informações que incluíam um endereço IP interno da companhia, segundo especialistas em segurança cibernética.
Eles descreveram esse hacker — um jordaniano chamado “Rey” — como alguém que vende acesso a sistemas invadidos. Sua publicação foi um sinal de que alguém estava dentro das redes da empresa. Coincidentemente, os hackers russos também já estavam lá.
A publicação de Rey acendeu o alerta dentro da Jaguar. A empresa imediatamente tomou medidas para lidar com uma possível invasão, atualizando softwares e reconstruindo um servidor antigo que era vulnerável, mas também crítico para a linha de produção.
Era tarde demais. Os hackers russos já haviam explorado fraquezas no software e no hardware. Eles se infiltraram silenciosamente nas redes e ficaram à espera do momento de atacar, disseram três das pessoas.
O momento não poderia ter sido pior. Isso aconteceu em 31 de agosto, justamente quando a empresa se preparava para lançar novos carros para concessionárias em todo o mundo. A Jaguar Land Rover, controlada pelo conglomerado indiano Tata Group, emprega 34 mil pessoas no Reino Unido e sustenta outros 120 mil empregos britânicos por meio de sua cadeia de fornecedores.
O ransomware usado no ataque era diferente de tudo o que alguns pesquisadores de segurança envolvidos na investigação já haviam visto, disseram duas pessoas familiarizadas com o caso. A criptografia era sofisticada e incomum — “realmente, realmente complicada”, disse um especialista.
Os invasores alertaram a Jaguar para não buscar ajuda das autoridades britânicas e disseram que fariam contato em 72 horas. A companhia ignorou o aviso e convidou investigadores britânicos e outros especialistas para sua sala de crise na região de Midlands.
Em poucas horas, a empresa teve de desligar seus sistemas, interrompendo a produção em suas fábricas na Inglaterra, bem como no Brasil, na China, na Índia e na Eslováquia. Foi uma medida drástica, mas permitiu que a companhia impedisse os hackers de assumir controle total de sua rede global. O ransomware foi projetado para criptografar os servidores, inclusive os de backup, trancando a Jaguar para fora de seus próprios sistemas.
No fim, os invasores foram expulsos das redes, à medida que especialistas em segurança cibernética lutavam para retomar o controle. A Jaguar reiniciou lentamente as operações em outubro e restaurou a produção aos níveis normais em meados de novembro.
Depois de conter o ataque, a empresa fez uma análise para identificar os responsáveis. Um coletivo hacker que se autodenominava Scattered Lapsus$ Hunters — uma mistura de nomes inspirados em grupos criminosos já existentes que haviam assumido a autoria de dezenas de grandes invasões corporativas nos últimos anos — reivindicou o ataque em um canal no Telegram.
Um desses grupos, o Scattered Spider, foi suspeito de vários ataques a varejistas britânicos na primavera passada, incluindo Harrods e Marks & Spencer. O grupo também teve empresas americanas como alvo.
Os investigadores rapidamente concluíram que os métodos usados contra a Jaguar Land Rover eram diferentes dos empregados nesses ataques, que envolveram pedidos de resgate em pelo menos dois casos e recorreram a táticas de engano online, como phishing, para induzir os alvos a conceder acesso.
A empresa não sabia quem estava por trás do ataque até que a Microsoft a alertou, nos dias seguintes à invasão, de que o grupo responsável era russo, disseram três pessoas familiarizadas com a investigação. A Microsoft se recusou a comentar.
Desde então, a Jaguar Land Rover se recuperou com ajuda do governo, que concedeu à montadora uma garantia para um empréstimo de cerca de US$ 2 bilhões, que poderia ser usado para apoiar seus fornecedores.
Na conferência de cibersegurança na Escócia, Jarvis disse que o dano foi notável.
“Se esse dano tivesse sido causado por um ataque físico, à moda antiga, seria o equivalente a centenas de criminosos mascarados aparecendo em concessionárias por todo o país, quebrando vidros, destruindo computadores e levando carros direto do pátio”, afirmou.
c.2026 The New York Times Company
