No final de dezembro, foi detectado um ataque orquestrado contra a infraestrutura elétrica da Polônia que, embora não tenha deixado cortes generalizados de eletricidade, deixou marcas em dezenas de instalações descentralizadas de geração. Segundo os primeiros relatórios públicos, houve pelo menos uma dúzia de locais afetados, entre os quais se incluem plantas de co-geração (CHP) e sistemas de escritório para parques eólicos e solares; no entanto, a assinatura especializada Dragos estima que o número real de sítios comprometidos poderia aproximar-se dos trinta. A soma da capacidade comprometida rondou os 1,2 GW, aproximadamente 5% do fornecimento energético nacional, um número suficiente para causar problemas operacionais se o ataque tivesse tido diferente alcance ou sincronização.
Os pesquisadores que analisaram o incidente concordam em um ponto-chave: a ausência de apagões em massa não reduz a gravidade do evento. O que aconteceu foi um ataque dirigido a componentes de tecnologia operacional (OT) e equipamentos de controle de rede que, em vários casos, foram danificados de forma irreversível e deixaram inutilizada sua configuração. Além disso, equipamentos com Windows foram apagados mediante wipers e a comunicação remota com numerosas unidades foi interrompida. Perder a visibilidade e o controle remoto em muitas unidades repartidas pelo território é, por si mesmo, um sinal de alarme sobre a fragilidade dos sistemas energéticos descentralizados.
Dragos atribui com confiança moderada a operação a um ator russo que denomina Electrum, um grupo que compartilha características com a conhecida ameaça Sandworm (também referida em relatórios como APT44) mas que constitui, segundo os analistas, um agrupamento com características e campanhas próprias. O repertório de malware associado a essas operações inclui rascunhos destrutivos e ferramentas orientadas para interromper comunicações e corruptir dispositivos de controle; exemplos mencionados por diferentes equipes de resposta são famílias como DynoWiper, Caddywiper e Industroyer2, que foram observadas em incidentes contra infraestruturas críticas na região. Para mais detalhes técnicos sobre a pesquisa de Dragos, consulte o seu relatório: Dragos — Relatório sobre Electrum e sector eléctrico polaco, e para leituras sobre ameaças e ataques com wipers pode ser visitado a cobertura e análise da ESET em seu portal de pesquisa: WeLiveSecurity (ESET).
Do ponto de vista operacional, os atacantes focaram-se em pontos que olham para a rede e equipamentos de fronteira: unidades terminais remotas (RTU), dispositivos de borda, equipamentos envolvidos no escritório e máquinas Windows nos locais de geração distribuída. A repetição de técnicas e a seleção de configurações semelhantes em várias instalações indicam que os autores conheciam bem como estão implantados e gerenciados esses ativos. Em muitos locais conseguiram inutilizar a equipe de comunicações, o que desconectou a monitoração e a capacidade de comando à distância; no entanto, a geração local continuou funcionando de forma autônoma na maioria dos casos, o que evitou apagões imediatos.
Mesmo assim, os riscos decorrentes destas invasões vão além de um possível corte pontual. Ao interferir com o fluxo de informação e com a posição que ocupam unidades distribuídas no balanço de carga, um atacante poderia provocar desvios de frequência no sistema elétrico. Essas oscilações, se alcançarem certos limiares e se combinarem com falhas em outros pontos da rede, desencadeiam efeitos em cascata que a própria comunidade energética sabe que podem ser catastróficos. Os analistas recordaram precedentes recentes em que variações de frequência contribuíram para colapsos regionais, e por isso sublinham a perigosidade de objectivos aparentemente "pequenos" quando atuam de forma coordenada.
A pesquisa também mostrou problemas recorrentes que facilitaram a intrusão: equipamentos expostos à Internet sem proteções adequadas, configurações por defeito ou mal endurecidas, ausência de segmentação efetiva entre redes corporativas e OT, e carência de cópias confiáveis da configuração de dispositivos críticos. Estes fatores não são novidade, mas em combinação com ferramentas destrutivas e um planejamento direcionado tornam instalações descentralizadas em alvos muito vulneráveis.
De uma perspectiva prática, a lição é clara: as redes de energia contemporâneas, cada vez mais distribuídas pelo crescimento de renováveis e unidades modulares, exigem uma ciberproteção adaptada que inclua inventários precisos de ativos, cópias seguras de configurações, segmentação robusta, gestão de acessos e monitorização contínua que contemple tanto a telemetria OT como a telemetria IT. Agências e organismos que trabalham neste domínio, como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA, oferecem guias e recursos sobre boas práticas para sistemas de controlo industrial ( CISA — ICS), e na Europa a Agência da União para a Cibersegurança publica recomendações específicas para o sector energético ( ENISA).
Há também uma dimensão geopolítica: quando ataques deste tipo ocorrem em momentos e condições que podem afetar a população civil - por exemplo, no inverno -, o impacto potencial transcende o técnico e entra no terreno da segurança nacional e humanitária. Por isso, as pesquisas não só buscam remediar sistemas, mas entender motivações, táticas e cadeias de compromissos para prevenir novas campanhas.
Em suma, o episódio polaco é um lembrete desconfortável: a transição para redes mais verdes e distribuídas traz benefícios ambientais e de resiliência, mas também expõe novos vetores de risco se não forem incorporadas medidas de cibersegurança desde o design. Proteger a electricidade do futuro exige tanto investimento tecnológico como mudanças na gestão operacional e maior cooperação entre operadores, fabricantes e autoridades.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...