Bajaj Auto admite ataque de ransomware às 8h da manhã e expõe a falha indiana em proteger ativos industriais
A montadora indiana, dona da terceira maior frota global de motocicletas, comunicou à SEBI um ataque que afetou matriz e subsidiária técnica. A CERT-In foi acionada e nenhum grupo cibercriminoso reivindicou o ataque até o fechamento desta matéria.
A Bajaj Auto comunicou nesta terça-feira, em filing regulatório enviado à Bombay Stock Exchange e à National Stock Exchange of India, que sofreu um ataque de ransomware iniciado por volta das 08h00 IST de 23 de junho. O incidente atingiu sistemas da empresa-mãe, sediada em Pune, e também da subsidiária integral Bajaj Auto Technology Limited, braço dedicado a engenharia e plataformas digitais. A divulgação foi feita sob a Regulation 30 das LODR Regulations da SEBI, que obriga companhias listadas a informar eventos materiais ao mercado, e o caso foi reportado à CERT-In em conformidade com o Information Technology Act, 2000.
A empresa afirma que sua equipe técnica interna, somada a especialistas externos em segurança e à liderança sênior, ativou "protocolos de contenção e medidas preventivas" para limitar o avanço do ataque, e diz que essas ações "foram bem-sucedidas" no objetivo de mitigar impacto operacional. Até o fechamento desta matéria, a Bajaj Auto não detalhou publicamente quais sistemas foram criptografados, se houve exfiltração de dados de clientes ou fornecedores, qual o status das linhas de produção em Chakan, Waluj e Pantnagar e nem qual grupo cibercriminoso seria responsável. Nenhum site de leak conhecido reivindicava o ataque até o final da tarde de terça em Mumbai.
Por que esse alvo é desconfortável para o setor
A Bajaj Auto não é uma vítima qualquer. A empresa fabrica mais de 4 milhões de veículos por ano para o mercado doméstico indiano, exporta para 70 países e fechou o exercício fiscal de março de 2026 com receita cambial de ₹15.864 crore, cerca de US$ 1,9 bilhão. Em motocicletas, é a terceira maior do mundo em volume, atrás apenas de Honda e Yamaha. Para o leitor que faz arquitetura corporativa, a leitura imediata é OT/IT: linhas de montagem com PLCs e SCADA integrados a ERPs em SAP, painéis MES conversando com o cloud, e a subsidiária BATL sustentando software embarcado em motos e três-rodas.
Nada do que a empresa divulgou exclui o cenário em que produção parou em alguma das quatro plantas e o ataque tenha alcançado a camada operacional. O silêncio sobre planta específica e duração de downtime é o mesmo padrão observado quando Jaguar Land Rover e Clorox levaram semanas para retomar capacidade após incidentes recentes.
A onda que está vindo para a Ásia industrial
O ataque entra em um padrão claro de 2025-2026, em que grupos de ransomware migraram de saúde e administrações públicas para manufatura de alto volume, onde o custo do downtime é mensurável em horas. A Honda em 2020, a Norsk Hydro em 2019, a JBS em 2021 e a Toyota em 2022 marcaram a primeira leva. O que mudou em 2026 é o ritmo de incidentes em fabricantes indianos: a indústria de TI indiana subiu na pauta de defesa cibernética, mas o chão de fábrica do país, que emprega dezenas de milhões e abastece linhas globais de eletrodomésticos, peças automotivas e farmacêuticas, segue defasado em segmentação de rede, gestão de identidade privilegiada em ambientes OT e visibilidade sobre ativos legacy.
A leitura para o Brasil é direta. A Bajaj não tem fábrica local, mas vende motocicletas Pulsar e Dominar montadas por parceiros, e disputa com Honda e Yamaha o mercado de motos urbanas, segmento que voltou a crescer dois dígitos em 2025 no país segundo a Fenabrave. Operadores brasileiros de logística last-mile e de aplicativos de entrega dependem desse fluxo de peças para manter frota disponível. Se o ataque comprometeu a cadeia de peças de reposição ou o software embarcado mantido pela BATL, distribuidores latino-americanos sentem o atraso. Em paralelo, montadoras brasileiras já viveram episódios análogos, como a Embraer em 2020 e a RNP em 2023, e a postura de Brasília via ANPD ainda é mais lenta do que a regulação indiana, em que a divulgação obrigatória à CERT-In em até seis horas força transparência inicial.
A peça que ainda falta
Sem confirmação de grupo de ransomware, sem detalhe de vetor inicial, sem confirmação ou negação de exfiltração e sem cronograma de retomada plena, a comunicação da Bajaj cumpre a obrigação legal mínima sob a SEBI e a CERT-In, mas deixa o mercado calculando no escuro. A Bajaj Auto Ltd não havia respondido a pedidos adicionais de comentário até o fechamento desta matéria. Para concorrentes que operam stacks similares com plantas conectadas, o que está em jogo nesta semana não é solidariedade pela vítima, é a varredura urgente de identidade privilegiada em VPNs de fornecedores e o teste real do tempo de detecção em ambientes OT.