Ataque de ransomware ao Metro Mondego reivindicado pelo grupo The Gentlemen

A Metro Mondego, empresa que assegura o serviço de metrobus entre Coimbra, Miranda do Corvo e Lousã, confirmou ter sido alvo de um ataque de ransomware a 6 de julho de 2026, que afetou parte dos seus sistemas internos. Nos dias seguintes, o grupo de cibercrime The Gentlemen reivindicou a autoria do ataque, alegando ter extraído documentação interna da empresa. O serviço de transporte não foi interrompido e os dados de pagamento dos passageiros não foram comprometidos, mas a investigação sobre uma eventual cópia de dados pessoais mantém-se em curso.

O que aconteceu no ataque à Metro Mondego

Em comunicado enviado à agência Lusa, a Metro Mondego esclareceu que o ataque informático, do tipo ransomware, afetou “parte dos seus sistemas internos” a 6 de julho de 2026, sem comprometer a operação do serviço de transporte. O ransomware é um tipo de software malicioso que cifra os dados da vítima e bloqueia o acesso aos sistemas, exigindo o pagamento de um resgate para os restaurar — frequentemente combinado com a ameaça de divulgação pública dos dados roubados.

Desde o primeiro momento, a empresa ativou os seus procedimentos de resposta a incidentes, com apoio de peritos externos em cibersegurança, e notificou as autoridades competentes: o Centro Nacional de Cibersegurança (CNCS), a Comissão Nacional de Proteção de Dados (CNPD) e as autoridades responsáveis pela investigação criminal, com quem afirma manter articulação permanente.

Que dados foram afetados

Segundo a Metro Mondego, a investigação em curso aponta para a possibilidade de terem sido copiados dados dos sistemas internos afetados. No entanto, a empresa sublinha que ainda não é possível confirmar se essa informação inclui dados pessoais de passageiros, colaboradores ou fornecedores, nem quais os dados concretos em causa. Um ponto foi assegurado de forma clara: os dados de pagamento dos passageiros não foram afetados.

A empresa comprometeu-se a informar direta e individualmente qualquer pessoa cujos dados venham a confirmar-se comprometidos, atualizando publicamente a informação à medida que a investigação forense evolua. Esta postura de comunicação transparente é, aliás, uma das obrigações previstas para entidades abrangidas pela legislação nacional de cibersegurança.

Quem é o grupo The Gentlemen

O grupo que reivindicou o ataque, The Gentlemen, é uma operação de ransomware-as-a-service (RaaS) que emergiu em meados de 2025 e que, em pouco mais de um ano, se tornou o segundo grupo de ransomware mais ativo do mundo por número de vítimas reivindicadas — mais de 300 organizações em cerca de 50 países, segundo dados da empresa de segurança Check Point Software.

Parte do crescimento acelerado do grupo é atribuída a uma repartição de lucro invulgarmente generosa para os seus afiliados: 90% do valor do resgate, acima do habitual 80% praticado por outros grupos. Esta política tem atraído operadores experientes de programas concorrentes, aumentando a capacidade ofensiva do grupo.

Do ponto de vista técnico, o The Gentlemen caracteriza-se por:

  • Dupla extorsão — cifra os sistemas da vítima e, em simultâneo, exfiltra dados sensíveis, ameaçando divulgá-los publicamente num site de fugas caso o resgate não seja pago;
  • Acesso inicial por dispositivos expostos — tem como alvo preferencial equipamentos ligados à internet, como VPN e firewalls;
  • Movimentação lateral rápida — é conhecido por cifrar redes inteiras em poucas horas após a intrusão;
  • Evasão de defesas — utiliza ferramentas próprias para desativar soluções de deteção e resposta (EDR) e o antivírus da vítima.

Porque é que o setor dos transportes é um alvo

O caso da Metro Mondego junta-se a uma lista crescente de operadores de transporte público visados por ataques de ransomware em todo o mundo. É um setor particularmente atrativo para grupos de cibercrime porque combina três elementos de valor: sistemas de bilhética com dados financeiros, bases de dados de clientes e colaboradores, e infraestrutura operacional cada vez mais ligada à rede.

Enquanto operador de transporte público, a Metro Mondego integra um dos setores considerados “essenciais” ao abrigo do Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a diretiva europeia NIS2). Esse enquadramento implica obrigações reforçadas de gestão de risco e de notificação de incidentes junto do CNCS — precisamente o procedimento que a empresa afirma ter seguido desde o início.

Como se proteger de tentativas de fraude associadas

Na sequência de um incidente como este, é comum surgirem campanhas de fraude que exploram o nome da entidade afetada. A Metro Mondego recomenda que passageiros, colaboradores e fornecedores redobrem a atenção a comunicações suspeitas feitas em seu nome. Como boas práticas gerais de cibersegurança:

  • Desconfie de emails, SMS ou chamadas inesperadas que peçam dados pessoais, códigos de verificação ou palavras-passe;
  • Nunca faça pagamentos ou altere dados bancários com base em contactos não solicitados, mesmo que aparentem vir de uma entidade legítima;
  • Confirme sempre qualquer pedido através dos canais oficiais da empresa, procurados de forma independente;
  • Mantenha os seus dispositivos e software atualizados e reporte de imediato qualquer atividade suspeita.

Perguntas frequentes

Quando ocorreu o ataque à Metro Mondego?

O ataque de ransomware ocorreu a 6 de julho de 2026 e foi confirmado publicamente pela empresa poucos dias depois, através de comunicado enviado à agência Lusa.

O serviço de metrobus foi afetado?

Não. A Metro Mondego garantiu que a operação do serviço de transporte entre Lousã e Coimbra não foi comprometida e manteve-se a funcionar normalmente.

Os dados de pagamento dos passageiros foram roubados?

Segundo a empresa, os dados de pagamento dos passageiros não foram afetados. A investigação continua a apurar se outros dados pessoais poderão ter sido copiados.

Quem foi responsável pelo ataque?

O ataque foi reivindicado pelo grupo The Gentlemen, uma operação de ransomware-as-a-service que é atualmente o segundo grupo de ransomware mais ativo do mundo por número de vítimas.

Porque é que isto importa

O incidente ilustra um padrão recorrente nos ataques a operadores de infraestruturas críticas: mesmo quando a operação do serviço não é interrompida, o risco reputacional e de exposição de dados pessoais permanece, e só se torna totalmente claro à medida que a investigação forense avança. Para as organizações portuguesas abrangidas pela NIS2, o caso da Metro Mondego reforça a importância de dispor de processos de resposta a incidentes bem definidos e de manter uma comunicação transparente com clientes e autoridades — exatamente os elementos que, até ao momento, a empresa afirma ter cumprido.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Metro Mondego (nota de imprensa enviada à agência Lusa) e por investigadores de cibersegurança que acompanham a atividade do grupo The Gentlemen.