# Setor Agroindustrial O agronegócio representa **24% do PIB brasileiro** e é pilar da economia da América Latina. A digitalização acelerada - agricultura de precisão, IoT no campo, ERP agrícolas e automação de silos - amplia a superfície de ataque em um setor historicamente com baixa maturidade cibernética. Em 2025, o setor de **energia, recursos e agricultura** foi o **segundo mais visado por ransomware e por initial access brokers na LATAM** (Intel 471, 2026). Globalmente, o Food & Agriculture-ISAC rastreou **265 ataques** ao setor em 2025, com o Q1/2025 registrando **84 ataques** - mais de **3 vezes o volume de Q1/2024**. ## Panorama de Ameaças Grupos de ransomware identificaram o agronegócio como alvo de alto valor com baixa capacidade de resposta. O [[cl0p|Cl0p]], [[g1024-akira|Akira]], [[qilin|Qilin]], Lynx, Cactus e SafePay foram os grupos mais ativos contra alimentos e agronegócio em 2025 (Food & Ag-ISAC). O setor respondeu por **5,5% de todos os ataques de ransomware globais** - proporção crescente refletindo o reconhecimento dos grupos criminosos do alto impacto e baixa resiliência do setor. O [[g0096-apt41|APT41]] e grupos chineses vinculados ao MSS têm interesse documentado em espionagem industrial agrícola - patentes de sementes GM, técnicas de cultivo de alto rendimento e dados de mapeamento de solo são ativos estratégicos de valor para países que buscam segurança alimentar. A digitalização Agro 4.0 - sensores IoT em campo, drones de monitoramento, sistemas SCADA em silos e usinas de cana - criou uma superfície de ataque OT/ICS que combina o pior dos dois mundos: exposição de sistemas industriais legados com conectividade de rede corporativa. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB AGRO["Setor Agroindustrial (Brasil)"] --> RANSOM["Cl0p / Akira<br/>Qilin / Lynx"] AGRO --> APT["APT41 / APT28<br/>Espionagem Agricola"] AGRO --> IAB["Initial Access Brokers<br/>2o mais visado LATAM"] RANSOM -->|"VPN sem MFA<br/>ERP agricola exposto"| T1078["T1078: Valid Accounts"] APT -->|"Spear-phishing a<br/>pesquisadores da EMBRAPA"| T1566["T1566: Phishing"] IAB -->|"Credenciais de gestores<br/>vendidas em darkweb"| T1133["T1133: External Remote"] T1078 --> ENC["Criptografia de ERP<br/>e sistemas de colheita"] T1566 --> ESP["Roubo de pesquisa<br/>agricola estratégica"] T1133 --> ENC ENC --> EXT["Extorsao /<br/>Disrupcao de safra"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Ransomware em agroindústrias e frigoríficos | 🟥 Crítico | [[cl0p\|Cl0p]], [[g1024-akira\|Akira]], [[qilin\|Qilin]], Lynx, SafePay | | Ransomware em cooperativas e tradings | 🟧 Alto | RansomHub, Cactus, grupos RaaS | | Espionagem de pesquisa genética e agrícola | 🟧 Alto | [[g0096-apt41\|APT41]], APTs chineses (EMBRAPA alvo) | | Comprometimento de sistemas SCADA em silos/usinas | 🟧 Alto | Grupos de ransomware com capacidade OT | | Initial access brokers - credenciais ERP agrícola | 🟨 Médio | IABs ativos no setor energia/recursos LATAM | ## TTPs Frequentes - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de sistemas ERP agrícolas (SAP, Totvs), portais de gestão de safra e sistemas de trading de commodities expostos; atacantes buscam pontos de entrada na cadeia logística - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia de sistemas de gestão de produção, silos e logística em período estratégico (início de safra, colheita); pressão máxima para pagamento por tempo - [[t1133-external-remote-services|T1133 - External Remote Services]] - VPNs corporativas de empresas agrícolas sem MFA são vetor preferido de grupos RaaS; muitas cooperativas operam com acesso remoto legado - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais de gestores e operadores de sistemas agrícolas compradas de IABs; setor é segundo mais visado por IABs na LATAM - [[t1566-phishing|T1566 - Phishing]] - spear-phishing contra pesquisadores da EMBRAPA, Unicamp e institutos de pesquisa agrícola; grupos de espionagem imitam agências de fomento e colaborações internacionais ## Incidentes Recentes (2024-2025) - **Marborges Agroindustria - Brasil (2025)** - comprometida pelo ransomware Exitium; dados de produção e funcionários exfiltrados; listada em leak site do grupo; demonstra foco crescente em empresas de médio porte do agro nacional - **JBS Brazil - 3TB exfiltrados (2025)** - grupo Coinbasecartel reivindicou exfiltração de 3 TB de dados de operações da JBS Brasil; incidente separado do ataque DarkSide de 2021 - **JBS - ataque DarkSide EUA/Brasil (2021 - marco histórico)** - US$11M de resgaté pago; interrompeu 20% da capacidade de processamento de carne bovina americana; impacto direto nos preços de commodities globais (referência para risco sistêmico do setor) - **Cooperativa agrícola EUA/LATAM (2025)** - padrão de múltiplos ataques a cooperativas identificado pelo Food & Ag-ISAC; grupos Cactus e Akira com foco em tradings de grãos - **EMBRAPA - reconhecimento documentado (2024-2025)** - pesquisadores da EMBRAPA identificados como alvos de campanhas de phishing de grupos de espionagem industrial; foco em pesquisa de sojá transgênica e cultivo de precisão ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Ataques ao setor alimentos/agro rastreados globalmente | 265 (2025) | Food & Ag-ISAC | | Ataques no Q1/2025 | 84 (+3x vs Q1/2024) | Food & Ag-ISAC | | % de todos os ataques ransomware globais | 5,5% | Food & Ag-ISAC 2025 | | Setor agro/recursos como alvo IABs - LATAM | 2o lugar | Intel 471 2026 | | Crescimento de ataques agro globalmente - ago/2025 | +101% YoY | Check Point ago/2025 | | JBS - resgaté pago (marco 2021) | US$11 milhões | FBI/DOJ 2021 | | Setores mais visados por ransomware LATAM | Energia/Recursos/Agro | Intel 471 2026 | ## Contexto Brasil/LATAM O Brasil é o maior exportador mundial de sojá, café, carne bovina, suco de laranjá e açúcar. Uma interrupção cibernética em cadeias de suprimento agrícolas pode afetar a segurança alimentar global e a balança comercial brasileira - o agronegócio representa superávit de mais de US$100B/ano. Essa relevância estratégica torna o setor um alvo tanto para grupos criminosos de ransomware quanto para atores estatais interessados em espionagem de pesquisa agrícola e propriedade intelectual. A **EMBRAPA** é um ativo de inteligência de alto valor: décadas de pesquisa em tropicalização de culturas, Cerrado e agricultura de precisão constituem propriedade intelectual estratégica que grupos de espionagem chineses e russos têm interesse documentado em acessar. A maturidade cibernética do setor é baixa: cooperativas agrícolas operam com TI enxuta, sistemas legados de gestão, conectividade rural de baixa qualidade e ausência de equipes de segurança dedicadas. A **Indústria 4.0 no agro** - automação de silos, sistemas SCADA em usinas de açúcar/etanol, sensores IoT - adiciona superfície OT sem equivalente aténção à segurança. ## Regulação Aplicavel - [[lgpd|LGPD]] - dados de funcionários, fornecedores e compradores; cooperativas e tradings com grande base de CPFs - **Lei de Propriedade Industrial (9.279/1996)** - proteção de cultivares e propriedade intelectual agrícola - **Lei de Proteção de Cultivares (9.456/1997)** - proteção de pesquisa genética; relevante para espionagem industrial - **Normas ABNT para ICS** - ISO/IEC 62443 para sistemas de automação industrial em usinas e silos ## Referências - Food & Agriculture-ISAC: Cyber Threat Report Agro Sector 2025 (ján/2026) - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - Check Point Research: Agriculture Sector Attacks +101% (ago/2025) - CrowdStrike: 2025 LATAM Threat Landscape Report (mar/2026) - FBI/DOJ: JBS Ransomware Attack - REvil Attribution (2021)