Il 10 giugno 2026, Mackay Sugar, secondo produttore australiano di zucchero, ha subito un attacco informatico che ha costretto alla sospensione delle operazioni due dei suoi tre zuccherifici. L'impatto si è propagato immediatamente: oltre 1.300 aziende agricole a conduzione familiare della regione di Mackay, nel Queensland, hanno ricevuto l'ordine di interrompere la raccolta della canna da zucchero proprio all'avvio della stagione di crushing, il periodo di maggiore intensità produttiva dell'anno. Il gruppo ransomware Gentlemen ha rivendicato l'operazione il 15 giugno tramite il suo sito di leak sul dark web. La società ha confermato l'accesso esterno al proprio ambiente IT, ma non ha attribuito ufficialmente l'attacco.
- Due zuccherifici su tre (Farleigh e Racecourse) sono rimasti fermi dal 10 giugno; il mulino di Marian non è stato colpito.
- Oltre 1.300 aziende agricole della regione di Mackay hanno dovuto sospendere la raccolta della canna da zucchero per l'impossibilità di processarla.
- Gentlemen, gruppo RaaS attivo dal tardo 2025 con oltre 480 vittime dichiarate, ha rivendicato l'attacco il 15 giugno con minaccia di pubblicazione dati entro il 26 giugno.
- Mackay Sugar ha dichiarato di aver «trovato prove che una parte esterna ha avuto accesso a parti del suo ambiente IT» e sta verificando natura ed entità dei dati eventualmente consultati.
«Stiamo lavorando con urgenza per verificare queste affermazioni, inclusa la natura e l'estensione di qualsiasi informazione che potrebbe essere stata consultata» — Mackay Sugar
La stagione dello zucchero interrotta al primo giorno
L'attacco è stato cronometrico. Il 10 giugno segna l'apertura convenzionale della stagione di crushing nel Queensland settentrionale, quando i campi di canna da zucchero raggiungono la maturità ottimale e la pressione logistica è massima. La sospensione di Farleigh e Racecourse ha creato un'interruzione a valle immediata: senza impianti operativi, la canna tagliata non può essere trasportata e lavorata, con deterioramento rapido del prodotto agricolo.
Canegrowers Mackay, l'organizzazione che rappresenta gli oltre 1.300 coltivatori della regione, ha confermato l'ordine di cessare la raccolta. Mackay Sugar genera più di 420 milioni di dollari australiani di ricavi annuali. La concentrazione geografica del settore — quasi l'80% della produzione nazionale di zucchero proviene dal Queensland — amplifica l'effetto a cascata di un singolo punto di rottura digitale sulla filiera fisica.
La società ha proceduto a un riavvio graduale. Il 12 giugno il mulino di Farleigh ha ripreso a funzionare in modalità manuale limitata. Entro il 15 giugno erano in corso prove a vapore; una ripresa completamente normalizzata rimaneva in fase di pianificazione al momento delle ultime comunicazioni disponibili.
Chi è Gentlemen: da RaaS emergente a Storm-2697
Microsoft traccia il gruppo come Storm-2697. Emerso nel tardo 2025, Gentlemen opera con modello Ransomware-as-a-Service offrendo agli affiliati il 90% dei pagamenti dei riscatti. Secondo Microsoft e KELA, entro il 13 giugno 2026 il gruppo aveva elencato 483 vittime sul proprio sito di leak, con 380 aggiunte nell'anno in corso solamente.
I membri del gruppo hanno precedenti operativi con Qilin, LockBit e altri cartelli ransomware. Un leak interno avvenuto su Rocket.Chat nel maggio 2026 ha confermato un nucleo operativo di circa nove persone, con l'amministratore noto come «hastalamuerte» identificato come ex affiliato Qilin. Lo stesso leak ha rivelato l'uso di strumenti basati su modelli di intelligenza artificiale (DeepSeek, Qwen) per assistere le operazioni tecniche.
Gentlemen applica il doppio estorsione: cifratura dei sistemi affiancata da minaccia di pubblicazione dei dati sottratti. Nell'incidente Mackay Sugar, il gruppo ha fissato una deadline di dieci giorni dalla rivendicazione per la presunta diffusione dei materiali, con scadenza calcolata al 26 giugno 2026.
GentleKiller: l'infrastruttura tecnica che abbassa la soglia di ingresso
ESET, che monitora Gentlemen tra i gruppi più attivi del 2026, ha pubblicato un'analisi dedicata al framework GentleKiller, suite di strumenti EDR-killer sviluppata e mantenuta centralmente dall'organizzazione. La ricerca di Jakub Souček, ricercatore ESET, documenta almeno otto varianti del framework, progettate per terminare oltre 400 processi di sicurezza distribuiti su 48 prodotti distinti. Il gruppo fornisce questi strumenti agli affiliati meno capaci, abbassando drasticamente la competenza tecnica richiesta per condurre attacchi sofisticati.
Il leak interno del maggio 2026 ha confermato conversazioni degli operatori relative alla supply di EDR-killer, convalidando il modello di centralizzazione dello sviluppo offensivo. La selezione delle vittime, secondo ESET, si basa principalmente sulla configurazione dei firewall FortiGate, suggerendo un'attività di ricognizione preliminare mirata all'infrastruttura perimetrale.
L'encryptor del gruppo, scritto in Go, impiega Curve25519 per lo scambio delle chiavi e XChaCha20 per la cifratura. Le analisi di Microsoft indicano la presenza di un argomento «spread» che abilita una propagazione con caratteristiche simil-worm, sebbene questa capacità non sia confermata per l'incidente Mackay Sugar. Gli accessi iniziali tipici del gruppo avvengono tramite dispositivi perimetrali non patchati o credenziali acquistate.
Cosa fare adesso
- Verificare la visibilità sui dispositivi perimetrali: ESET identifica la configurazione FortiGate come criterio primario di selezione delle vittime da parte di Gentlemen. Le organizzazioni devono assicurare patching tempestivo e audit delle configurazioni esposte sui firewall edge.
- Isolare la segmentazione IT/OT: l'incidente Mackay Sugar ha colpito sistemi IT con impatto operativo su impianti fisici. La separazione architetturale tra reti informatiche e sistemi di controllo industriale riduce la superficie di propagazione da un dominio all'altro.
- Rafforzare la resilienza dei processi EDR: il framework GentleKiller è progettato specificamente per disabilitare soluzioni di rilevamento endpoint. Testare la resistenza degli agenti di sicurezza alle tecniche di terminazione fornisce indicazioni sulla robustezza della postura difensiva.
- Pianificare la continuità per finestre stagionali critiche: gli operatori di infrastrutture agricole e alimentari devono trattare i picchi produttivi come periodi di massima esposizione, anticipando scenari di degradazione dei sistemi digitali con procedure manuali verificate e capacità di stoccaggio intermedio.
Perché l'agricoltura è diventata un obiettivo stagionale
L'angolo dell'attacco Mackay Sugar è temporale, non settoriale. I gruppi ransomware hanno imparato a leggere i calendari produttivi: colpire all'inizio della raccolta significa moltiplicare il costo dell'indisponibilità, rendendo il pagamento statisticamente più probabile. Il grano australiano, la barbabietola europea, il mais statunitense seguono ritmi analoghi. La sovrapposizione tra vulnerabilità digitale e finestra logistica irreversibile trasforma il rischio cyber in rischio di sicurezza alimentare.
Gentlemen incarna questa evoluzione con particolare chiarezza. La centralizzazione dello sviluppo degli EDR-killer, la proliferazione delle vittime, l'uso di strumenti AI-assisted e la struttura RaaS con split del 90% creano un'organizzazione scalabile che può colpire molteplici settori senza possedere competenze verticali profonde. La capacità di propagazione worm-like, pur non confermata in questo incidente, rimane un acceleratore teorico di contagio interno.
Il caso Mackay Sugar non è una novità tecnica; è una dimostrazione di come la comprensione operativa del tempo agricolo abbia superato quella difensiva. La frequenza con cui i coltivatori australiani vedranno i propri raccolti dipendere dalla sicurezza informatica di un'azienda cooperativa dipenderà dalla velocità con cui questo divario viene colmato.
Domande frequenti
Ha pagato Mackay Sugar il riscatto?
Non esistono informazioni pubbliche in merito. La legge australiana impone la segnalazione dei pagamenti di riscatto alle autorità governative, ma nessuna fonte del dossier documenta un'esposizione di tali dati.
I sistemi industriali (OT) sono stati compromessi direttamente?
Le fonti disponibili non confermano un accesso diretto ai sistemi di controllo industriale. Mackay Sugar ha riconosciuto l'accesso esterno a parti dell'ambiente IT; l'eventuale impatto sui sistemi operazionali deriverebbe da propagazione o dipendenza funzionale, non da compromissione OT verificata.
Quali dati sono stati effettivamente rubati?
La natura e il volume dei dati potenzialmente accessibili o esfiltrati non sono stati determinati al momento della pubblicazione. Mackay Sugar ha esplicitamente dichiarato di stare investigando l'estensione delle informazioni eventualmente consultate.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://therecord.media/mackay-sugar-cyberattack-claimed-gentlemen
- https://www.helpnetsecurity.com/2026/06/18/eset-gentlemen-edr-killers/
- https://www.rescana.com/post/ransomware-attack-on-mackay-sugar-disrupts-australian-mills-cybersecurity-incident-analysis-and-lessons-learned
- https://arnav.au/2026/06/17/mackay-sugar-ransomware-attack-another-cyber-attack/
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://industrialcyber.co/transport/resecurity-details-anubis-ransomware-attack-on-adriatic-port-authority-exposing-maritime-infrastructure-risks/
- https://www.securityweek.com/ransomware-attack-shuts-down-mills-of-australias-second-largest-sugar-producer/
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments