AkzoNobel confirma ataque de ransomware com roubo massivo de dados nos EUA
A operação norte‑americana da AkzoNobel, gigante holandesa do setor de tintas e revestimentos, sofreu um ataque de ransomware que resultou no furto de um grande volume de informações corporativas e pessoais. Segundo especialistas, aproximadamente 170 mil arquivos foram exfiltrados da rede da companhia, em um incidente classificado como de alta gravidade sob a ótica de privacidade e confidencialidade de negócios.
O caso veio a público após o especialista em cibersegurança Erik Westhovens divulgar detalhes do vazamento em sua página profissional, informando que os dados expostos incluem documentos internos, registros de funcionários e material sigiloso trocado com clientes e fornecedores. De acordo com ele, o pacote contém informações que podem ser utilizadas tanto para chantagem financeira quanto para novas fraudes direcionadas a pessoas físicas e jurídicas.
Grupo Anubis assume autoria e detalha dados roubados
A ofensiva foi reivindicada pela operação de ransomware conhecida como Anubis. Em seu site de vazamentos, o grupo afirma ter obtido cerca de 170 GB de dados da AkzoNobel nos Estados Unidos. Entre os arquivos listados estão cópias de passaportes de colaboradores, acordos de confidencialidade (NDAs) firmados com clientes e parceiros, contratos e outros documentos legais, além de relatórios financeiros internos e resumos contábeis.
O conteúdo publicado pelos criminosos inclui imagens de supostos documentos trocados com fornecedores da companhia. Em uma mensagem de autopromoção, o grupo ironiza a reputação de grandes corporações no campo da segurança: segundo o texto, redes de empresas “gigantes” costumam ser tratadas como “fortalezas impenetráveis”, mas um “descuido” da AkzoNobel teria permitido a violação. O post ainda sugere que, para uma organização cujo faturamento ultrapassa a casa dos 10 bilhões, a ocorrência de incidentes desse porte “não deveria surpreender”.
Posição oficial da AkzoNobel: incidente contido e impacto “limitado”
Embora não tenha respondido publicamente a todos os detalhes divulgados pelo Anubis, a AkzoNobel confirmou que sofreu um ataque de ransomware. Um porta‑voz declarou que o incidente foi detectado e contido e que a ocorrência se limitou a um dos sites da empresa na América do Norte.
De acordo com a declaração, a companhia considera o impacto “limitado” e afirma estar em processo de notificação e apoio às partes potencialmente afetadas. A empresa também informou que está colaborando com autoridades competentes para esclarecer o caso e mitigar eventuais danos decorrentes da exposição dos dados.
Quem é a AkzoNobel
Com raízes que remontam a 1646, a AkzoNobel é uma das mais antigas e tradicionais multinacionais do setor químico. A empresa emprega mais de 31,5 mil pessoas em diversos países e registra receita anual superior a 10 bilhões de euros. Seu portfólio abrange tintas decorativas, esmaltes, vernizes e produtos para preparação e proteção de superfícies, atendendo mercados residencial, industrial e automotivo, entre outros.
A relevância global da companhia torna o episódio especialmente sensível: dados de passaportes, NDAs e relatórios financeiros de um player desse porte têm alto valor no submundo do cibercrime, podendo ser explorados para espionagem industrial, fraudes de identidade, golpes de engenharia social e ataques subsequentes contra parceiros da cadeia de fornecimento.
Perfil do grupo Anubis e seu modelo de negócio criminoso
O Anubis é descrito como uma operação de ransomware ativa desde dezembro de 2024. O grupo segue o modelo hoje dominante nesse tipo de crime: combina extorsão tradicional (cobrança de resgate para descriptografar dados ou evitar divulgação) com um programa de afiliados.
Nesse esquema, o Anubis oferece “ransomware como serviço” (RaaS): desenvolve a infraestrutura e o malware, enquanto parceiros afiliados realizam a intrusão nas redes das vítimas. Em troca, os lucros das extorsões são divididos. Além disso, o grupo atua na corretagem de acesso inicial, comercializando ou intermediando o acesso a ambientes já comprometidos para que outros criminosos possam executar seus próprios ataques.
Esse modelo industrializado facilita a expansão das campanhas, aumenta a quantidade de alvos simultâneos e torna mais difícil rastrear e desarticular toda a cadeia criminosa, já que há múltiplos atores operando em diferentes etapas do ataque.
O que o vazamento revela sobre a maturidade em segurança
O caso da AkzoNobel aponta para um problema recorrente em grandes corporações: mesmo com orçamentos robustos e equipes especializadas, uma combinação de falhas técnicas e humanas ainda abre brechas significativas. Entre os pontos de atenção que o episódio evidencia, destacam‑se:
– armazenamento excessivo de documentos sensíveis em ambientes acessíveis a muitos usuários ou sistemas;
– possíveis fragilidades em autenticação, segmentação de rede ou gestão de acessos;
– dependência de medidas de perímetro (como firewalls tradicionais) sem camadas adicionais de proteção em profundidade;
– dificuldade em identificar e conter rapidamente atividades anômalas ligadas a roubo de dados (exfiltração).
O fato de os criminosos alegarem posse de passaportes, NDAs e documentos financeiros internos sugere que o ataque não se limitou a criptografar sistemas, mas envolveu uma fase de reconhecimento prolongada e coleta dirigida de ativos de alto valor para chantagem.
Impactos para funcionários, clientes e fornecedores
Para funcionários, a exposição de passaportes e outros dados pessoais amplia o risco de crimes de identidade, abertura de contas fraudulentas, golpes de engenharia social e até tentativas de extorsão individual. Já para clientes e fornecedores cujos NDAs e contratos foram comprometidos, há o temor de que cláusulas estratégicas, preços, condições comerciais e propriedade intelectual sejam explorados por concorrentes ou usados como moeda de barganha pelos criminosos.
Empresas que mantêm relacionamento com a AkzoNobel podem ainda ser alvo de ataques em cadeia: com documentos internos em mãos, o grupo Anubis e outros atores maliciosos podem criar e-mails extremamente convincentes, reproduzindo linguagem, nomes, cargos e detalhes de contratos, facilitando campanhas de phishing e fraude BEC (Business Email Compromise).
Ransomware, extorsão dupla e o papel do vazamento público
Os ataques modernos de ransomware raramente se limitam à criptografia de sistemas. A estratégia de extorsão dupla – e, em alguns casos, tripla – combina:
1. sequestro de dados (criptografia);
2. ameaça de vazamento público das informações roubadas;
3. quando aplicável, pressão adicional por meio de ataques de negação de serviço ou contato direto com clientes e parceiros da vítima.
No caso da AkzoNobel, o uso de um site de vazamentos para divulgar amostras dos documentos funciona como vitrine do “poder de dano” do grupo e como instrumento de pressão pública. A publicação de trechos irônicos a respeito da empresa também faz parte da tática de humilhação: mostra que a organização perdeu o controle sobre informações internas e procura estimular a percepção de vulnerabilidade perante o mercado.
A falsa sensação de segurança em ambientes cloud e SaaS
Um ponto frequentemente negligenciado, e que ganha relevância em ataques desse tipo, é a crença de que dados armazenados em serviços de nuvem ou aplicações SaaS estão automaticamente protegidos e “com backup garantido”. Na prática, o modelo de responsabilidade compartilhada coloca sobre o cliente (a empresa usuária) a obrigação de proteger, configurar e fazer cópias de segurança dos seus próprios dados, mesmo quando o provedor garante a disponibilidade da infraestrutura.
Se credenciais de acesso a ambientes de nuvem forem comprometidas, atacantes podem baixar grandes volumes de documentos, alterar configurações, excluir backups ou até aplicar criptografia em dados armazenados em serviços online. Por isso, medidas como autenticação multifator, políticas de privilégios mínimos, monitoramento de acessos e cópias de segurança imutáveis são essenciais tanto on‑premises quanto na nuvem.
Lições práticas para outras organizações
O episódio envolvendo a AkzoNobel traz algumas lições imediatas para empresas de todos os portes:
– Mapear dados críticos: saber exatamente onde estão armazenados documentos sensíveis (passaportes, contratos, NDAs, relatórios financeiros) e quem tem acesso.
– Reforçar segmentação e privilégios: limitar ao máximo o acesso lateral dentro da rede e impedir que uma única credencial abra portas para múltiplos sistemas.
– Implementar detecção precoce: investir em ferramentas e processos de monitoramento contínuo que identifiquem comportamentos anômalos, como grande volume de cópia ou movimentação de arquivos fora do padrão.
– Treinar pessoas: reduzir riscos de phishing e engenharia social por meio de campanhas recorrentes de conscientização e simulações.
– Estruturar resposta a incidentes: ter um plano testado, com papéis definidos, rotinas de comunicação e critérios claros para acionar autoridades e notificar titulares de dados e parceiros.
Governança, transparência e reputação
A forma como uma empresa reage a um ataque pode ser tão importante quanto a própria ocorrência do incidente. Transparência razoável – informando o que se sabe, o que ainda está em apuração e quais medidas estão sendo tomadas – contribui para preservar a confiança de funcionários, clientes, fornecedores e do mercado.
No caso AkzoNobel, a confirmação do ataque, o reconhecimento de que houve impacto, ainda que classificado como limitado, e o compromisso de notificar e apoiar os afetados são passos importantes do ponto de vista de governança. Porém, à medida que análises forenses avançam e mais detalhes surgirem, será fundamental demonstrar melhorias concretas em controles de segurança, especialmente considerando a natureza sensível dos dados envolvidos.
O cenário adiante
Enquanto o grupo Anubis segue explorando o episódio para se autopromover e pressionar a empresa, o caso reforça um cenário que se tornou rotina: nenhuma organização, independentemente de seu tamanho, história ou faturamento, está imune a ataques sofisticados de ransomware.
Para o setor industrial e químico, em particular, o incidente serve de alerta sobre a necessidade de integrar segurança cibernética à estratégia de negócio, levando em conta não apenas a continuidade operacional, mas também a proteção de dados pessoais, contratos e propriedade intelectual que sustentam a competitividade global dessas empresas.