Ransomware-ul Gentlemen lovește Soja de Portugal, scurgând 491 GB de date

Grupul de ransomware Gentlemen a revendicat atacul asupra Soja de Portugal, una dintre cele mai importante companii agricole din Portugalia, care a dus la expunerea a 491 GB de date corporative sensibile. Conform relatărilor publicate de DeXpose, datele compromise includ înregistrări din sistemul SAP, informații despre angajați și documente financiare. Articolul sursă poartă data de 4 iunie 2026, ceea ce pare a fi fie o eroare de raportare, fie o publicație datată în viitor; cititorii trebuie să rețină că acuratețea factuală a acelei date specifice nu poate fi confirmată independent, deși mai multe surse de informații despre amenințări au coroborat breșa în sine ca fiind un eveniment recent.

Incidentul se adaugă unei liste tot mai lungi de atacuri atribuite grupului The Gentlemen, o operațiune de tip ransomware-as-a-service despre care cercetătorii afirmă că a apărut public în a doua jumătate a anului 2025 și care, de atunci, a revendicat sute de victime din mai multe industrii și țări.

Cine sunt The Gentlemen și de ce sunt eficienți?

Grupul The Gentlemen funcționează ca o platformă de tip ransomware-as-a-service (RaaS), ceea ce înseamnă că dezvoltatorii de bază licențiază malware-ul și infrastructura lor către atacatori afiliați care desfășoară campanii individuale. Acest model coboară bariera de intrare pentru infractorii cibernetici și face atribuirea mai complexă pentru investigatori.

Ceea ce diferențiază acest grup de operațiunile mai vechi de ransomware este utilizarea constantă a dublei extorcări: aceștia criptează datele victimei și, de asemenea, le exfiltrează înainte de declanșarea criptării. Asta înseamnă că până și organizațiile cu proceduri solide de backup se confruntă cu o a doua amenințare: publicarea sau vânzarea datelor furate dacă nu se plătește răscumpărarea. În cazul Soja de Portugal, grupul pare să fi pus în aplicare această amenințare, 491 GB fiind raportați ca publicați sau făcuți accesibili prin infrastructura lor de scurgere a datelor.

Cercetătorii au remarcat că setul de instrumente al The Gentlemen vizează Windows, Linux, hypervisori ESXi și dispozitive NAS, făcându-i capabili să perturbe o gamă largă de medii de afaceri, de la rețelele de birouri tradiționale la centrele de date virtualizate.

Ce date au fost expuse și de ce contează

Categoriile de date implicate în breșa de la Soja de Portugal merită examinate cu atenție. Datele SAP sunt deosebit de semnificative: SAP este o platformă de planificare a resurselor întreprinderii (ERP) utilizată de marile organizații pentru a gestiona totul, de la lanțurile de aprovizionare și achiziții, până la salarizare și contabilitate. O breșă a datelor SAP poate expune contracte cu furnizorii, structuri de prețuri, previziuni financiare interne și detalii privind compensațiile angajaților, toate într-un singur loc.

Înregistrările angajaților, o altă categorie confirmată în această breșă, includ de obicei nume, numere de identificare, detalii de contact și, uneori, informații bancare pentru salarizare. Atunci când aceste date sunt divulgate, se creează riscuri în aval și pentru angajați individuali, nu doar pentru organizație.

Acest tipar de vizare a sistemelor de business enterprise nu este unic pentru acest atac. Incidente similare, cum ar fi atacul ransomware Play asupra Ampex Data Systems, au arătat cum atacatorii prioritizează depozitele de date de mare valoare, inclusiv informațiile personale identificabile ale angajaților și înregistrările financiare, tocmai pentru că acestea oferă atât pârghie pentru răscumpărare, cât și valoare de revânzare pe piețele criminale.

Companiile agricole și de producție devin ținte din ce în ce mai atractive deoarece adesea rulează un amestec de tehnologie operațională moștenită și software enterprise modern, creând suprafețe de atac mai mari și mai neuniforme decât organizațiile care și-au construit infrastructura mai recent.

De ce securitatea perimetrală singură nu este suficientă

Una dintre cele mai importante lecții din incidente ca acesta este că apărările perimetrale tradiționale – firewall-uri, software antivirus și monitorizarea rețelei – sunt necesare, dar insuficiente. Grupul The Gentlemen și operațiunile similare sunt cunoscute pentru obținerea accesului inițial prin campanii de phishing, porturi RDP (Remote Desktop Protocol) expuse și credențiale compromise. Odată intrați într-o rețea, se deplasează lateral, adesea zile sau săptămâni întregi, înainte de a implementa ransomware-ul.

De aceea, profesioniștii în securitate pledează din ce în ce mai mult pentru o abordare stratificată a securității organizaționale. Unele dintre cele mai eficiente straturi includ:

  • Acces la rețea de tip zero-trust: În loc să aibă încredere în orice dispozitiv sau utilizator din interiorul perimetrului rețelei, arhitectura zero-trust necesită verificarea continuă a identității și a stării de sănătate a dispozitivului înainte de a acorda acces la orice resursă.
  • Acces la distanță criptat: VPN-urile și instrumentele similare protejează datele în tranzit și reduc riscul de interceptare a credențialelor pe conexiuni neprotejate, în special pentru lucrătorii la distanță și hibrizi care accesează sisteme sensibile.
  • Segmentarea rețelei: Menținerea izolată a unor sisteme precum SAP față de stațiile de lucru generale ale angajaților limitează capacitatea unui atacator de a se deplasa lateral după obținerea unui punct inițial de acces.
  • Detectarea și răspunsul la punctele terminale (EDR): Spre deosebire de antivirusul moștenit, instrumentele EDR monitorizează anomaliile comportamentale care pot indica faptul că un atacator operează în interiorul rețelei, chiar înainte de implementarea malware-ului.

Atacul ransomware asupra ChipSoft din Țările de Jos a ilustrat un tipar similar de eșec: atacatorii au putut accesa și exfiltra volume mari de date deoarece sistemele interne nu erau suficient de segmentate, iar controalele de acces nu erau suficient de granulare pentru a limita breșa odată ce intrarea inițială a fost realizată.

Ce înseamnă acest lucru pentru dumneavoastră

Fie că organizația dumneavoastră este o corporație multinațională sau o afacere regională precum Soja de Portugal, calculul riscurilor s-a schimbat. Grupurile de ransomware cu modele RaaS pot lansa atacuri la scară, vizând orice sector în care există date valoroase. Este posibil ca firmele agricole, de logistică și producătorii să nu se fi perceput istoric ca ținte de mare valoare, dar datele pe care le dețin în sistemele ERP și HR spun o altă poveste.

Iată pași concreți pe care organizațiile îi pot face pentru a-și reduce expunerea:

  • Auditați punctele de acces de la distanță: Identificați toate serviciile expuse la internet, în special RDP și gateway-urile VPN, și asigurați-vă că sunt securizate cu autentificare multi-factor și credențiale actualizate periodic.
  • Implementați accesul cu cel mai mic privilegiu: Angajații și sistemele ar trebui să aibă acces doar la datele și aplicațiile de care au cu adevărat nevoie. Drepturile de acces extinse accelerează deplasarea laterală după o breșă.
  • Testați-vă backup-urile: Copiile de rezervă offline sau imuabile reprezintă o apărare critică împotriva ransomware-ului bazat pe criptare, dar numai dacă sunt testate periodic și se confirmă că pot fi restaurate.
  • Clasificarea datelor și criptarea la repaus: A ști care date sunt cele mai sensibile și a asigura criptarea lor chiar și atunci când sunt stocate intern limitează valoarea fișierelor exfiltrate pentru atacatori.

Breșa de la Soja de Portugal este un studiu de caz util nu pentru că este excepțională, ci pentru că este din ce în ce mai tipică. Pe măsură ce atacurile ransomware continuă să expună volume mari de date corporative din toate sectoarele, organizațiile care se descurcă cel mai bine sunt cele care tratează securitatea ca pe un proces continuu, nu ca pe o investiție unică. Revizuirea controalelor de acces, a arhitecturii de rețea și a planului de răspuns la incidente acum costă semnificativ mai puțin decât gestionarea unei scurgeri de 491 GB de date după producerea faptului.