Apagão na Europa reacende alerta global sobre ciberameaças ao setor energético

19/05/2025 mindsecblog Notícias 0

Relatório da ZenoX analisa os principais ataques cibernéticos contra empresas de energia em 2025 e revela fragilidades críticas no setor

O apagão de grandes proporções que atingiu Portugal e Espanha no dia 28 de abril, mergulhando parte da Península Ibérica no caos logístico e social, evidenciou de forma dramática a dependência da sociedade moderna em relação à infraestrutura energética. Embora as causas do incidente ainda estejam sob investigação e as autoridades tenham, até o momento, descartado uma origem cibernética, o episódio reacende um debate urgente: até que ponto o setor energético está preparado para resistir a ataques digitais?

Com base nesse cenário, a ZenoX, startup de cibersegurança do Grupo Dfense especializada em inteligência de ameaças contra fraudes digitais, acaba de divulgar um relatório exclusivo que analisa os principais incidentes cibernéticos reportados contra empresas e entidades do setor energético ao redor do mundo entre janeiro e abril de 2025. A pesquisa, organizada por região, revela o crescente volume e sofisticação das ofensivas contra operadoras de energia, abrangendo desde multinacionais e estatais até pequenas cooperativas e concessionárias locais.

“Mesmo quando a causa de uma interrupção não é cibernética, como parece ser o caso do apagão ibérico, o impacto serve como lembrete de como um ataque digital poderia ser devastador. E esse temor não é mais hipotético — ele se baseia em casos reais e recorrentes que monitoramos diariamente”, afirma Ana Cerqueira, CRO da ZenoX.

Recentes casos espalhados pelo mundo

A Europa despontou como um epicentro de ataques, com Espanha e França particularmente afetadas. Na Espanha, a Naturgy teve 2,5 milhões e a Endesa mais de 4 milhões de registros de clientes comprometidos em abril, expondo dados pessoais e financeiros. Na França, a Leclerc Energie sofreu vazamento de dados de 4,7 milhões de clientes em janeiro, e a EDF/DPIH, ligada a usinas nucleares, teve dados internos vazados em fevereiro. A Alemanha viu a Stadtwerke Schwerte e serviços municipais afetados por ransomware em março. Ataques da #OpUkraine causaram interrupções na infraestrutura energética da Ucrânia em abril, afetando empresas como a Odessagaz.

Na Ásia, o Ministério de Energia indiano teve dados expostos em março, e o site da Hi-Power Transformers foi desfigurado. Acesso root a um servidor de energia renovável no Japão e acesso administrativo ao portal de faturação da PITC no Paquistão foram colocados à venda em fevereiro e março, respectivamente. Nos EUA, acesso root a um firewall do Departamento de Energia e ransomware contra a Solar Optimum ocorreram em abril e março, respectivamente, enquanto a Rayle EMC teve 30GB de dados corporativos expostos em abril.

Na América do Sul, em novembro de 2024, o grupo de ransomware Hunters International reivindicou a autoria de um ataque cibernético contra a Aeris Energy, empresa brasileira do setor de energia com receita declarada de R$238 milhões e cerca de 2.900 colaboradores. Segundo os criminosos, a ofensiva resultou na exfiltração de um volume expressivo de dados: 1,3 terabytes distribuídos em mais de 670 mil arquivos.

No Oriente Médio, a GhostSec reivindicou ataques a mais de 600 ICS em Israel em abril, e o Ministério de Energia de Marrocos sofreu um ataque DDoS no mesmo mês. Na África, o portal do Ministério de Energia de Marrocos também foi derrubado por um ataque cibernético em abril. Esses incidentes demonstram a amplitude e a diversidade das ameaças ao setor energético, reforçando a urgência de medidas robustas de cibersegurança.

Por que o setor energético é um alvo tão atrativo?

O documento aponta que o setor energético permanece como um dos alvos prioritários para grupos cibercriminosos, hacktivistas e até agentes estatais, por diversos motivos. Primeiro, trata-se de uma infraestrutura crítica: interrupções nesse segmento afetam imediatamente a vida cotidiana, os serviços públicos e a estabilidade econômica. Segundo, o potencial de extorsão é altíssimo, empresas pressionadas pela necessidade de retomada rápida das operações se tornam alvos ideais para campanhas de ransomware. Além disso, o setor armazena dados extremamente valiosos, como informações operacionais sensíveis, dados pessoais de milhões de usuários e propriedade intelectual sobre tecnologias energéticas.

Outro fator-chave é a complexidade da superfície de ataque. A interconexão entre redes de TI e TO (tecnologia operacional) cria múltiplas portas de entrada para invasores, especialmente em sistemas legados, dispositivos IoT mal protegidos e interfaces entre ambientes corporativos e industriais. A existência de um mercado clandestino altamente ativo que comercializa acessos privilegiados (como credenciais VPN ou RDP) a redes do setor facilita ataques subsequentes, inclusive por grupos menos sofisticados, que podem comprar acesso pronto a infraestruturas críticas.

“O que vemos hoje é um mercado paralelo muito bem estruturado. Acesso remoto a uma concessionária elétrica pode ser vendido por algumas centenas de dólares em fóruns de cibercrime. Isso reduz drasticamente a barreira de entrada para ataques e amplia a ameaça para todo o ecossistema energético”, explica Cerqueira.

Grupos, táticas e tipos de ataque identificados

Entre os principais agentes identificados no relatório da ZenoX estão grupos de ransomware como Akira, Lynx e Hunters International, que usam táticas de dupla extorsão (sequestro de dados + vazamento), além de coletivos ideológicos e geopolíticos como GhostSec e #OpUkraine, que realizam desde defacements e DDoS até ataques mais graves contra sistemas de controle industrial (ICS). Há também vendedores especializados que operam em fóruns underground, oferecendo desde bancos de dados exfiltrados até acessos administrativos prontos para exploração.

As técnicas utilizadas são variadas: phishing, exploração de vulnerabilidades em sistemas expostos, credenciais comprometidas, sistemas desatualizados e, sobretudo, o comprometimento de ambientes OT – considerados hoje o elo mais frágil da cadeia. O relatório reforça que os ataques documentados vão muito além de perdas financeiras: envolvem riscos reais à segurança pública e nacional, principalmente quando atingem usinas hidrelétricas, redes de distribuição ou parques de energia nuclear.

Reações e medidas preventivas

A ZenoX conclui que, diante de um ambiente cada vez mais hostil, é urgente adotar uma postura proativa de cibersegurança baseada em inteligência. Entre as recomendações estratégicas estão: implementar boas práticas de gestão de identidade e acesso (como MFA e PAM), fortalecer a segurança de ambientes ICS/OT, manter backups segregados e atualizados, e monitorar continuamente fóruns clandestinos e ameaças emergentes com uso ativo de inteligência de ameaças (CTI).

“O setor energético precisa de um modelo de defesa dinâmico, resiliente e continuamente adaptado às ameaças atuais. A digitalização traz ganhos operacionais, mas também expande a superfície de ataque. É hora de tratar a cibersegurança como elemento central da continuidade e soberania energética”, reforça a executiva.