Publicidade
(Bloomberg) — Navarro Jordan encomendou seu Land Rover Defender em agosto. No dia 15 de agosto, Jordan, que mora em Los Angeles, recebeu uma notificação de que o carro havia sido montado e, logo depois, que estava pronto e aguardando para ser enviado. Então, as atualizações pararam de chegar.
A entrega deveria ter levado pouco mais de um mês. A cada duas semanas, ele liga para o revendedor, fazendo a mesma pergunta: “O que está acontecendo?” Setembro passou sem respostas claras. “Só na semana passada meu revendedor finalmente admitiu que nem sabia onde meu carro está,” disse Navarro. “Fiquei completamente no escuro.”
No final de agosto, a Jaguar Land Rover (JLR) foi alvo de um grande ataque cibernético que levou a empresa a fechar fábricas ao redor do mundo. A interrupção, que provavelmente custou centenas de milhões de dólares à empresa, se espalhou por toda a sua cadeia de suprimentos, ameaçando milhares de empregos.
Leia também: Cervejaria não consegue retomar produção após ataque hacker; casos se multiplicam
Em uma medida sem precedentes, o governo do Reino Unido interveio, concordando em garantir um empréstimo emergencial de £1,5 bilhão (R$ 10,7 bilhões) para que a empresa possa pagar seus fornecedores. Especialistas disseram que é uma medida de alto risco que pode limitar os danos do ataque, mas também pode desestimular as empresas a investirem mais em cibersegurança.
“Isso força uma conversa difícil sobre se devemos ser mais rigorosos com os padrões de cibersegurança para empresas estrangeiras que estão integradas à economia,” disse Stuart Davis, especialista em cibersegurança baseado na Irlanda e ex-diretor sênior de resposta a incidentes para a Europa na CrowdStrike. “Também é um grande alerta.”
Continua depois da publicidade
A JLR detectou o ataque em seus sistemas no dia 31 de agosto. Um grupo criminoso que se autodenomina “Scattered Lapsus$ Hunters” — uma coalizão frouxa de hackers ligada a três grupos diferentes, Scattered Spider, Lapsus$ e Shiny Hunters — assumiu a autoria da invasão em postagens na plataforma Telegram no início de setembro. Os hackers publicaram imagens mostrando sistemas internos da JLR e documentação de veículos, afirmando que obtiveram acesso após explorar uma vulnerabilidade em uma plataforma tecnológica chamada SAP Netweaver. A Bloomberg News não conseguiu verificar de forma independente as alegações do grupo.
Normalmente, em ataques desse tipo, os hackers bloqueiam sistemas internos ou ameaçam divulgar dados sensíveis a menos que a empresa pague um resgate. A JLR não divulgou detalhes sobre quaisquer exigências.
Na quarta-feira — mais de cinco semanas após o início da paralisação da produção — a JLR começará a retomada gradual das operações de fabricação, iniciando pelos centros de montagem de motores e baterias na região de West Midlands, na Inglaterra. Os trabalhadores também começarão a retornar às operações de estampagem em Castle Bromwich, Halewood e Solihull, e a áreas da planta de produção de veículos em Solihull.
Continua depois da publicidade
“Continuamos trabalhando 24 horas por dia ao lado de especialistas em cibersegurança, do Centro Nacional de Segurança Cibernética do Reino Unido e das autoridades policiais para garantir que nossa retomada seja feita de forma segura e protegida,” disse um porta-voz da JLR em comunicado por e-mail.
Leia também: Entenda porque crescem os temores de uma bolha bilionária em IA
Infraestrutura isolada
A infraestrutura de computadores da JLR é extensa e inclui milhares de computadores e máquinas de produção em suas fábricas e escritórios, segundo uma pessoa familiarizada com as operações da empresa, que pediu anonimato para discutir detalhes sensíveis. Alguns dos sistemas no ambiente fabril são isolados de computadores conectados à internet, o que é projetado para protegê-los em caso de invasão. Mas havia algumas “brechas” nesse ambiente, que podem ter aberto certos sistemas críticos para um ataque externo, disse a pessoa.
Continua depois da publicidade
Grande parte da infraestrutura da montadora remonta à época em que a Ford Motor Co. era proprietária da empresa, disse a fonte. Após a Tata Motors Ltd. adquirir a JLR em 2008 em um negócio avaliado em US$ 2,3 bilhões, a empresa investiu em nova infraestrutura de TI, mas a construiu sobre o modelo da Ford, em vez de substituí-la. Isso deixou um conjunto complicado de sistemas sobrepostos que criaram vulnerabilidades potenciais, disseram.
Grande parte da TI e da cibersegurança da JLR tem sido gerenciada nos últimos anos pela Tata Consultancy Services. Em setembro de 2023, a JLR anunciou um novo contrato de £800 milhões com a TCS que, segundo a empresa, “gerará eficiências em relação ao custo dos serviços existentes.”
A Tata Consultancy Services não respondeu a pedidos de comentário.
Continua depois da publicidade
Pesquisadores de cibersegurança disseram que hackers haviam mirado a JLR nos meses anteriores ao ataque de agosto. Uma startup de cibersegurança chamada Deep Specter Research afirmou ter encontrado evidências em junho de que hackers obtiveram credenciais que poderiam usar para acessar os sistemas internos da JLR. A empresa fez a descoberta enquanto investigava um grupo de servidores de “comando e controle” usados por hackers para direcionar ataques, muitos deles voltados a marcas de luxo, segundo Shaya Feedman, fundador da empresa e ex-chefe de segurança da informação da Porsche Digital.
Feedman contatou o escritório de proteção de dados da JLR por e-mail em 29 de junho para alertar sobre riscos à infraestrutura digital da montadora, segundo mensagens revisadas pela Bloomberg. Feedman disse que se especializa em identificar “padrões avançados de ameaça” e observou que havia descoberto “um risco potencial envolvendo sua infraestrutura” que poderia afetar a empresa e seus clientes. “Acreditamos que essa informação é importante e deve ser compartilhada com a equipe apropriada,” escreveu.
Ele não recebeu resposta. Não está claro se a empresa revisou suas mensagens. Um porta-voz da JLR recusou-se a comentar.
Leia também: Desvio de recursos em ataque hacker ao Pix vai a R$ 710 mi; maior parte foi bloqueada
Alvo repetido
Não se sabe se a atividade identificada pela Deep Specter estava ligada ao ataque de 31 de agosto à JLR. Mas está claro que a JLR foi alvo repetido, provavelmente pelos mesmos hackers em alguns casos, segundo os pesquisadores.
Em março, a empresa de cibersegurança relatou que a JLR foi hackeada por um grupo de ransomware chamado Hellcat. Nesse incidente, que não causou interrupção significativa na produção da JLR, os pesquisadores alegaram que os hackers acessaram os sistemas da empresa usando credenciais roubadas por um infostealer, um tipo de software malicioso que infecta computadores e coleta senhas.
Um dos hackers envolvidos na invasão de março usava o nome de usuário “Rey.” Um hacker com o mesmo apelido estava envolvido no grupo Scattered Lapsus$ Hunters. Hackers afiliados ao grupo foram ligados no início deste ano a ataques cibernéticos contra outras empresas britânicas, incluindo as varejistas Marks & Spencer, Co-Op e Harrods.
Após detectar o ataque de agosto, a JLR rapidamente tirou seus sistemas do ar para tentar conter possíveis danos. No entanto, o impacto foi imediato e altamente disruptivo.
A produção parou nas fábricas da JLR no Reino Unido — onde a empresa fabrica cerca de 1.000 veículos por dia — assim como em plantas na China, Índia, Brasil e Eslováquia.
Charles Tennant, analista da indústria automotiva e ex-engenheiro-chefe da Land Rover, estima que a interrupção custou à JLR cerca de £5 milhões por dia em lucros perdidos e mais de 30.000 veículos “perdidos.” “Eles não podem recuperar esses veículos. Eles não foram fabricados. Sumiram,” disse.
A JLR começou a reativar alguns de seus sistemas em 25 de setembro. Mas espera-se que leve várias semanas até que possa voltar à capacidade normal, segundo Tennant. Os carros da empresa podem ter 100.000 peças ou mais, com um vasto número de especificações que diferem para cada modelo, o que torna o processo de fabricação incrivelmente complexo.
“Você pode imaginar quanto tempo levaria, trabalhando a partir de backups, para colocar esses dados de volta nos sistemas,” disse Tennant. “É devastador.”
Jordan, pelo menos, finalmente recebeu uma atualização esta semana: seu carro chegou ao porto na Califórnia.
Leia também: Jaguar defende rebranding polêmico em meio à transição para veículos elétricos
Rebranding “Woke”
O ataque cibernético ocorre em um momento delicado para a JLR. A Jaguar — sua marca principal de carros de passeio — está no meio de um rebranding, abandonando seu antigo logo do gato saltando e reposicionando a marca como de baixo volume, totalmente elétrica e voltada para compradores mais jovens. Um anúncio focado em diversidade que não mostrava carros recebeu críticas de fãs da marca e do presidente dos EUA, Donald Trump, que o chamou de “seriamente woke.”
As paralisações causadas pelo ataque foram sentidas principalmente em West Midlands, região que é o centro da indústria automotiva do Reino Unido há mais de um século. Dezenas de fabricantes especializados na região abastecem a cadeia de suprimentos da JLR.
Uma pesquisa com 84 empresas realizada pela Black Country Chambers of Commerce, que representa negócios nos Midlands, constatou que 77% sofreram efeitos negativos com a paralisação, com quase metade relatando perdas financeiras acentuadas e algumas já recorrendo a demissões ou empréstimos bancários emergenciais.
“O setor automotivo da Black Country emprega 13.000 pessoas, então os efeitos em cascata desse ataque cibernético estão sendo sentidos em toda a nossa comunidade empresarial,” disse Sarah Moorhouse, CEO da Black Country Chambers of Commerce. “Não é só sobre a JLR — é sobre os fornecedores, fabricantes e prestadores de serviços que fazem da Black Country a potência da produção automotiva do Reino Unido.”
Em Walsall, cidade antes sinônimo do comércio de couro e agora parte da densa rede de fábricas e oficinas que sustentam a indústria automotiva do Reino Unido, a pressão é intensa. Michael Beese, diretor-gerente da Genex UK Ltd, dirige uma empresa de estampagem com 17 funcionários que produz suportes, peças de acabamento e outras peças metálicas para grandes fornecedores da rede de produção da JLR. Ele manteve sua equipe ocupada inicialmente produzindo estoque, mas o espaço e o material acabaram rapidamente, forçando-o a iniciar demissões.
“Pensei em pegar um empréstimo, mas me cobraram juros de 16% e queriam garantias pessoais,” disse Beese. “Por que eu colocaria meu negócio e minha casa em risco se não fiz nada de errado?”
O impacto também chegou ao cluster automotivo da Irlanda do Norte, onde a planta Dunmurry da Linamar Corp. anunciou planos para demitir 40 funcionários terceirizados. O local fabrica cabeçotes para o motor Ingenium da JLR e produz componentes de subchassi enviados pelo Mar da Irlanda para a instalação da Gestamp perto de Newcastle. Apesar da paralisação da produção da JLR, ambas as fábricas continuaram produzindo peças e agora estão ficando sem espaço de armazenamento, forçando cortes na produção e colocando cerca de 200 trabalhadores em regime de trabalho reduzido.
“É tudo muito preocupante para eles,” disse Norman Cunningham, negociador do sindicato Unite que representa os trabalhadores da planta da Linamar. “Todos têm contas e hipotecas para pagar, e a última coisa que precisam é de redução salarial.”
A JLR anunciou na terça-feira que acelerará os pagamentos a certos fornecedores em até 120 dias para ajudar no fluxo de caixa durante a retomada gradual da produção.
Declínio prolongado
A indústria automobilística britânica está em declínio há muito tempo, pressionada pelo Brexit, pela transição para veículos elétricos e pelos altos custos de energia após a invasão da Ucrânia pela Rússia. A produção caiu mais da metade desde o pico de 1,7 milhão de carros em 2016, com apenas 755 mil previstos para este ano, segundo a Society of Motor Manufacturers and Traders, grupo do setor. Isso torna o papel da JLR como maior fabricante de carros do Reino Unido crucial para um governo trabalhista cuja legitimidade depende da capacidade de gerar empregos e crescimento econômico.
A importância política da indústria, e das regiões onde a interrupção é mais sentida, pode ter influenciado a decisão do governo de oferecer apoio financeiro à JLR.
“Há tantos negócios diferentes e eleitores do Reino Unido na cadeia de suprimentos da JLR, em muitas circunscrições parlamentares, que acho que seria incomum que essa situação se repetisse,” disse Jamie MacColl, pesquisador sênior em ciber e tecnologia do Royal United Services Institute.
Especialistas em cibersegurança disseram que a intervenção do governo do Reino Unido é uma medida não ortodoxa e potencialmente arriscada — que reflete o desespero crescente dos governos para responder ao aumento dos ataques cibernéticos contra empresas do setor privado, que custam bilhões de dólares.
No início do ano, o governo britânico anunciou planos para proibir todas as instituições públicas e operadores de infraestrutura nacional crítica de fazer pagamentos de resgate, numa tentativa de minar a economia das atividades dos cibercriminosos. Fornecer um suporte financeiro às empresas é uma medida nova e potencialmente arriscada.
“Este é um novo ponto de inflexão, ter um pacote de solvência de mais de um bilhão de libras por um ataque cibernético é um novo nível de impacto,” disse Laura Galante, ex-diretora do centro de integração de inteligência sobre ameaças cibernéticas no Escritório do Diretor de Inteligência Nacional dos EUA.
“O governo britânico está fazendo a coisa certa pela economia aqui, e pelas pessoas afetadas,” disse Galante. “Mas não tenho certeza se eles querem fazer isso novamente. Isso não deveria ser o remédio em que as empresas confiam para garantir seus programas de segurança.”
Outros temem que possa haver um grau de risco moral envolvido no suporte às empresas. Davis, especialista em cibersegurança na Irlanda, disse que instituições públicas há muito tempo contam com o apoio implícito ou explícito de agências governamentais para responder a ataques de hackers, mas o que diferencia o resgate da JLR é que envolve um benefício direto a uma empresa privada. O fato de a empresa ser propriedade de um conglomerado estrangeiro multibilionário complica ainda mais a questão, disse ele.
“O auxílio governamental geralmente é reservado para infraestrutura nacional crítica — coisas como água e eletricidade,” disse. “Ao estender isso para empresas privadas de propriedade estrangeira, é aqui que o governo envia a mensagem de que uma empresa pode ser grande demais para falir apenas com base em sua pegada econômica. O perigo é que isso possa enfraquecer o incentivo geral delas a investir em cibersegurança.”
(Atualiza com detalhes da retomada da produção no sétimo parágrafo.)
© 2025 Bloomberg L.P.