Incidente de Ransomware: Grupo the gentlemen / Soja de Portugal
Resumen
La empresa portuguesa sojadeportugal.pt, conocida por su plataforma de gestión de contratos y logística, fue víctima del ataque ransomware del grupo internacional the gentlemen. Un incidente crítico se reportó el 3 de junio de 2026. La empresa confirmó que sus sistemas fueron comprometidos el 15 de mayo de 2024. El impacto inicial se manifestó en una cifra de datos exfiltrada superior a 398 GB, incluyendo información crítica sobre contratos, logísticas y clientes. El incidente ha generado alertas en plataformas de inteligencia de amenazas como OpenCTI, donde el grupo aparece asociado con ataques a empresas de logística internacional.La Victima
Nombre: sojadeportugal.pt
Sector: Gestión de contratos y logística internacional
Punto crítico afectado: Sistema SAP (SAP ERP) y plataforma de gestión empresarial
Vigencia del incidente: El impacto inicial fue reportado el 3 de junio de 2026, con la confirmación de compromiso en mayo de 2024.
El Grupo Atacante
Ransomware: the gentlemen (Grupo)
Firma de compromiso: sojadeportugal.pt / [email protected]
Código fuente disponible: GitHub (versión v0.14, última actualización 2026-03)
Cronologia del Ataque
| Tipo de incidente | Ransomware (RANS) |
|---|---|
| Firma de compromiso | sojadeportugal.pt / [email protected] |
| Vigencia del incidente | El impacto inicial fue reportado el 3 de junio de 2026, con la confirmación de compromiso en mayo de 2024. |
La empresa reporta un incidente crítico que se detectó inicialmente del 15 de mayo de 2024. El ataque fue confirmado el 3 de junio de 2026, cuando la empresa notificó al público y a los clientes.
Datos Comprometidos
| Tipo de datos | Vigencia |
|---|---|
| SAP ERP y plataformas SAP Business One | El incidente afectó el sistema SAP, incluyendo módulos de gestión financiera, logística y planificación. |
| Contratos comerciales (SAP Contracts) | Inclusiva información sobre contratos con clientes y proveedores. |
| Planificación estratégica | Data histórica para análisis de negocio. |
| Logística y cadena de suministro | Información sobre rutas, tiempos de entrega y transporte. |
| Datos personales (Contactos) | Nombres, teléfonos y direcciones de contacto. |
| Planificación de proyectos | Data histórica para análisis de negocio. |
| Logística y transporte | Inclusiva información sobre rutas, tiempos de entrega y transporte. |
| Plataforma SAP Business One (Planificación) | Sistema empresarial crítico afectado. |
| Data de clientes | Contactos comerciales detallados. |
| Circulares y comunicaciones internas | Documentación interna y comunicación corporativa. |
El incidente ha generado alertas en plataformas de inteligencia de amenazas como OpenCTI, donde el grupo aparece asociado con ataques a empresas de logística internacional y gestión empresarial.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
|---|---|---|
| URL de compromiso (Compromised URL) | https://sojadeportugal.pt | Página web del grupo que menciona el incidente. |
Sistema operativo comprometido: Windows Server 2016, Windows Server 2019 y versiones anteriores (v17.03, v18.04).
Conclusiones
- Impacto crítico en SAP ERP: El sistema fue comprometido el 15 de mayo de 2024, afectando gestión financiera y logística.
- Datos exfiltrados masivos: Más de 398 GB de datos fueron extraídos, incluyendo contratos, clientes, productos y información personal.
- Ransomware de alto impacto: El grupo es conocido por ataques a empresas críticas como SAP y Microsoft.
Recomendación crítica:
Implementar defensas de seguridad en tiempo real (SAST/DAST) y sistemas de detección de amenazas (IDS/IPS)
Jordi Serrano — Senior Cyber Threat Intelligence