# JBS Ransomware Attack 2021 > [!critical] Maior processadora de carne do mundo paralisada — Brasil no centro do ataque > Em 30 de maio de 2021, o grupo [[g0115-gold-southfield]] (operador do [[s0496-revil]]) atacou a **JBS S.A.** — empresa brasileira e maior processadora de carne bovina e suína do mundo. O ataque paralisou operações nos **EUA, Austrália e Canadá**, ameaçando o abastecimento de carne nos três países. A JBS pagou **US$ 11 milhões em Bitcoin** para recuperar os sistemas. Foi o maior ataque de ransomware já sofrido por uma empresa do setor de alimentos. ## Visão Geral O ataque ransomware à JBS S.A. em maio de 2021 tem relevância especial para o Brasil por múltiplas razões: a JBS é uma empresa brasileira — fundada em Anápolis (GO) em 1953, tornou-se a maior processadora de proteína animal do mundo —, e o ataque foi reivindicado pelo grupo [[g0115-gold-southfield]], operador do RaaS (Ransomware-as-a-Service) [[s0496-revil]], cuja infraestrutura estava hospedada na Rússia. O incidente demonstrou que empresas brasileiras de relevância global são alvos prioritários de grupos de ransomware sofisticados, independentemente de onde suas operações sejam atacadas. O ataque foi descoberto na noite de 30 de maio de 2021 (domingo do Memorial Day nos EUA — estratégicamente escolhido para maximizar a janela de resposta reduzida), com servidores de TI nos EUA, Austrália e Canadá comprometidos. A JBS tomou a decisão de desligar preventivamente seus sistemas de TI globalmente para contenção — paralisando completamente cinco das maiores plantas de processamento de carne bovina dos EUA (que respondem por ~20% da capacidade americana de processamento), todas as plantas da Austrália e plantas no Canadá. O impacto foi imediato: sindicatos de trabalhadores rurais, mercados de futuros de commodities e cadeias de supermercados nos três países reportaram impactos no abastecimento. Após negociação, a JBS pagou US$ 11 milhões em Bitcoin ao [[g0115-gold-southfield]] — a maior extorsão de ransomware no setor alimentício até aquela data. O FBI e o DOJ americano investigaram o caso. O incidente ocorreu 25 dias após o Colonial Pipeline, levando o presidente Biden a discutir diretamente o problema de ransomware com o presidente Putin em cúpula em Genebra em junho de 2021. Para empresas brasileiras de [[food|agronegócio]] e para a [[brazil|segurança cibernética corporativa brasileira]], o caso JBS é o benchmark de exposição de empresas nacionais a ataques de ransomware de alto impacto. > [!latam] Relevância Direta para o Brasil > A JBS é uma empresa 100% brasileira — seus acionistas controladores são os irmãos Batista, e a sede mundial é em São Paulo. O ataque não afetou operações brasileiras, mas demonstrou que empresas brasileiras globalizadas são alvos de interesse de grupos de ransomware russo. O Ministério da Agricultura brasileiro emitiu nota de acompanhamento. O caso evidência que grandes empresas brasileiras com operações internacionais precisam de planos de resposta a incidentes de ransomware alinhados com padrões internacionais (NIST, ISO 22301). ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Acesso com credenciais corporativas comprometidas | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia massiva de servidores de produção | | Exfiltration Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Double extortion - dados exfiltrados antes da criptografia | | Remote Services | [[t1021-remote-services\|T1021]] | Movimentação lateral na rede corporativa global | ## Referências - [1](https://www.fbi.gov/news/press-releases/fbi-statement-on-jbs-cyberattack) FBI - Statement on JBS Cyberattack (2021) - [2](https://www.jbs.com.br/en/news/jbs-usa-cyberattack-media-statement/) JBS - Official Statement on Cyberattack (2021) - [3](https://www.bleepingcomputer.com/news/security/jbs-paid-11-million-to-revil-ransomware-said-an-8-million-ransom-was-demanded/) BleepingComputer - JBS Paid $11M to REvil (2021) - [4](https://attack.mitre.org/groups/G0115/) MITRE ATT&CK - Gold Southfield (G0115) - [5](https://www.bbc.com/news/world-us-canada-57338896) BBC - JBS: FBI says Russia-linked REvil gang behind ransomware attack (2021)