Meer dan een week na een cyberaanval die de operaties van Australiës op een na grootste suikerproducent verstoorde, onderzoekt het bedrijf de claims van een ransomwaregroep terwijl het werkt aan het herstel van zijn systemen. De bedreigingsactor bekend als Gentlemen heeft de verantwoordelijkheid opgeëist voor het incident bij Mackay Sugar, dat de werking van suikerfabrieken in een van de grootste suikerrietteeltgebieden van het land verstoorde.

Mackay Sugar heeft het incident niet officieel toegeschreven aan een specifieke dreigingsactor en heeft de betrokkenheid van Gentlemen niet bevestigd. In een verklaring gaf het bedrijf woensdag aan op de hoogte te zijn van de claim van de hackers op de darkweb-leksite van de groep en dat er bewijs is gevonden dat een externe partij toegang heeft gekregen tot delen van de IT-omgeving. "We werken met spoed aan het verifiëren van deze claims, inclusief de aard en omvang van eventuele informatie die mogelijk is ingezien," aldus het bedrijf.

De cyberaanval eerder deze maand dwong twee van de suikerfabrieken van Mackay Sugar om de productie stil te leggen kort nadat het jaarlijkse suikerrietverwerkingsseizoen was begonnen, waardoor de oogst in grote delen van de regio Mackay in Queensland werd stopgezet. De Racecourse- en Farleigh-fabrieken zijn sinds 10 juni gesloten, terwijl de derde fabriek niet werd getroffen omdat deze op het moment van de aanval niet in bedrijf was. Het bedrijf werkt door aan het herstel van de systemen en verwacht dat de oogst deze week gedeeltelijk kan worden hervat.

"We zijn ons bewust van de impact die dit incident heeft op onze telers en doen er alles aan om hen te ondersteunen en de volledige productie zo snel mogelijk veilig te hervatten," aldus Mackay Sugar. Het bedrijf exploiteert drie fabrieken en meldt een jaarlijkse omzet van meer dan 420 miljoen dollar. Het levert ruwe suiker aan binnenlandse klanten en exportmarkten zoals Zuid-Korea, Indonesië, Japan en Maleisië.

De ransomwaregroep Gentlemen eiste deze week de verantwoordelijkheid op voor de aanval en dreigde met publicatie van gestolen data als er geen losgeld wordt betaald. De groep maakte niet bekend welke informatie zij in bezit zouden hebben of wat hun eisen zijn, en Mackay Sugar heeft niet bekendgemaakt of er contact is geweest met de groep. Australische wetgeving verplicht slachtoffers van ransomware-aanvallen om eventuele afkoopsommen aan cybercriminelen te melden bij de overheid.

Volgens cybersecuritybedrijf ESET ontstond Gentlemen eind 2025 en is het sindsdien uitgegroeid tot een van de meest actieve ransomware-operaties van dit jaar. De groep werkt met een ransomware-as-a-service-model waarbij affiliates tot 90% van de losgeldbetalingen ontvangen. Daarnaast past Gentlemen dubbele afpersing toe door naast het versleutelen van systemen ook data te stelen. Onderzoekers melden dat de operators eerder samenwerkten met ransomwaregroepen als Qilin, Embargo, LockBit, Medusa en BlackLock. Hoewel de oorsprong van de groep onbekend is, is er bewijs gevonden dat de oprichter Russisch spreekt.