Nas últimas semanas, tornou-se evidente um risco que os especialistas em cibersegurança há anos alertando: os controladores lógicos programáveis, ou PLC, expostos à Internet tornaram-se alvo direto de campanhas ligadas a Estados com capacidade informática ofensiva. Um aviso conjunto divulgado por agências federais de EE. Os EUA salientam que grupos relacionados ao governo iraniano têm centrado os seus esforços em dispositivos Rockwell Automation/Allen-Bradley desde março de 2026, provocando interrupções operacionais e perdas econômicas em redes de infraestrutura crítica.
O perigo não é teórico: os atacantes não só acessam as equipes, mas extraem arquivos de projeto e manipulam o que mostram os painéis HMI e os sistemas SCADA, segundo as pesquisas citadas pelas agências. Esta combinação —exfiltração de configuração e alteração das interfaces de controlo — é particularmente inquietante porque permite tanto o reconhecimento profundo da planta como a execução de mudanças que podem passar despercebidos para operadores confiantes em leituras falsas.
Uma análise de superfície de ataque publicada pela assinatura de censado da Internet Censys identificou mais de 5.200 hosts que respondem ao protocolo EtherNet/IP e que se autodefinen como dispositivos Rockwell/Allen‐Bradley. Censys explicou que cerca de três quartos desses equipamentos estão fisicamente nos Estados Unidos e que uma porcentagem significativa aparece em sistemas autônomos (ASNs) de operadores celulares, sugerindo implantaçãos em campo conectados por modems celulares.
Que muitos PLC estejam acessíveis desde a rede pública não é acaso: fatores como configurações por defeito, ausência de corta-fogos entre a rede industrial e a pública, acessos remotos mal assegurados ou o uso de conexões celulares sem segmentação podem converter uma equipe de controle em uma janela aberta ao interior de uma planta. Além disso, protocolos industriais como a EtherNet/IP muitas vezes revelam assinaturas e metadados que facilitam a identificação automatizada de equipamentos vulneráveis.
Este surto de atividade se enquadra em uma tendência maior. Em 2023 e princípios de 2024 um grupo rastreado como CyberAv3ngers centrou suas campanhas em controladores Unitronics e conseguiu compromissos em sistemas de água e saneamento nos Estados Unidos; a alerta de CISA sobre esse caso documenta táticas e recomendações que voltam a ser relevantes hoje. Por outro lado, relatórios de empresas de segurança associaram atores como Handala com a remoção massiva de dispositivos em grandes redes corporativas, mostrando a amplitude de técnicas que podem empregar grupos com diferentes objetivos.
Diante deste panorama, as medidas defensivas são claras, embora exigentes: isolar e segmentar as redes OT, evitar que PLC e HMI fiquem diretamente acessíveis da Internet, e aplicar controles de perímetro que incluam corta-fogos e portas de ligação específicas para tráfego industrial. Também é crítico aplicar autenticação robusta – como a verificação multifator – para acessos remotos, manter o firmware e os projetos atualizados com adesivos oficiais do fabricante, e desativar serviços e métodos de autenticação que não são usados.
A detecção precoce pode marcar a diferença: monitorar registros de dispositivos e fluxos de rede em busca de padrões invulgares, revisar conexões entrantes a partir de fornecedores de alojamento estrangeiros ou ASN de operadores celulares e realizar digitalização controlada para identificar hosts expostos devem fazer parte da operação regular de qualquer equipamento responsável por infraestrutura crítica. Além disso, quando houver suspeita de compromisso, convém preservar evidências e notificar as autoridades competentes e o próprio fabricante para coordenar respostas e mitigação.
Os operadores não estão sozinhos: fabricantes e organismos públicos publicam guias e avisos técnicos que convém seguir. Rockwell Automation mantém canais de comunicação e avisos de segurança em seu portal de suporte; consultar ajuda a aplicar mitigações específicas para seus PLC. Para políticas e práticas mais gerais de segurança em sistemas de controlo industrial, o documento NIST SP 800-82 oferece um quadro técnico consolidado que muitas organizações tomam como referência ( NIST SP 800-82).
Também é recomendável rever as análises públicas e as notas técnicas que assinaturas de cibersegurança especializadas publicam sobre campanhas e ferramentas concretas; o relatório do Censys citado antes fornece dados de exposição e tendências de detecção, e Unit42 de Palo Alto Tem documentado outras operações atribuídas a atores iranianos que ajudam a entender táticas, técnicas e procedimentos recorrentes.
A lição é simples, mas urgente: num mundo onde a conectividade remota é parte da operação padrão, a segurança dos dispositivos industriais não pode ficar como responsabilidade secundária. Proteger PLC, segmentar redes e monitorar ativamente são medidas que evitam de paradas de produção até riscos para a segurança pública, e a sua implementação deveria ser prioritária para qualquer organização que gere infra-estruturas críticas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...