Nos últimos dias de dezembro de 2025, a Polónia sofreu o que as autoridades descrevem como a tentativa mais ambiciosa de desestabilização cibernética contra o seu sistema elétrico em anos. Embora o ataque não tenha conseguido interromper o fornecimento, o episódio acendeu os alarmes sobre a sofisticação e a persistência dos atores que apontam para infra-estruturas críticas.
Segundo o governo polonês e a pesquisa publicada pela empresa eslovaca ESET, a operação foi atribuída ao grupo de hacking vinculado ao Estado russo conhecido como Sandworm. Os analistas da ESET identificaram nessa campanha um malware de remoção de dados até agora não documentado, ao qual denominaram DynoWiper, e observaram coincidências técnicas com outras ferramentas destrutivas utilizadas pelo mesmo ator no passado. Você pode ler o relatório técnico do ESET aqui: ESET — pesquisa sobre o ataque à rede elétrica polonesa.
O ministro da Energia da Polónia, Miłosz Motyka, informou que, apesar da magnitude da tentativa, as defesas evitaram danos operacionais significativos. Os ataques, que ocorreram entre 29 e 30 de dezembro de 2025, foram dirigidos a duas centrais de co-geração (CHP) e a um sistema encarregado da gestão de energia proveniente de renováveis como parques eólicos e solares. O relato oficial do governo e as medidas anunciadas podem ser consultadas no comunicado do escritório do primeiro-ministro: Governo da Polónia — resposta aos ataques cibernéticos.
A atribuição a Sandworm, segundo especialistas, não se baseia numa coincidência, mas numa série de sobreposições em técnicas, ferramentas e procedimentos que lembram campanhas anteriores atribuídas a esse coletivo, responsável em 2015 por um ataque que deixou sem eletricidade a parte da região de Ivano-Frankivsk na Ucrânia. Esse precedente, que combinou o troiano BlackEnergy com o wiper KillDisk, continua sendo uma referência desconfortável sobre o que podem provocar essas operações quando chegam ao seu objetivo: análise do aniversário do apagão na Ucrânia.
É importante entender o que faz um "wiper" ou malware de remoção de dados: ao contrário de um ransomware, cujo objetivo é geralmente criptografar dados para pedir resgate, um wiper busca danificar ou remover informações de forma irreversível e, muitas vezes, apagar rastros forenses. Os wipers são projetados para causar danos, não para lucrar, e quando utilizados contra sistemas de controlo industrial (OT) podem afetar desde a disponibilidade de serviços até a capacidade de recuperar operações normais sem recorrer a cópias de segurança intactas.
A campanha de final de 2025 encaixa numa tendência observada durante o ano, na qual atores como Sandworm testaram variantes e famílias de malware destrutivo com objetivo em setores como energia, transporte, logística e administração pública. Em junho de 2025, por exemplo, pesquisadores da Cisco Talos informaram sobre o aparecimento de um wiper denominado PathWiper que afetou uma entidade de infraestrutura crítica na Ucrânia, e outros relatórios documentaram variantes como ZEROLOT e Sting em ataques direcionados a redes universitárias e setores-chave durante o mesmo período. Para quem quiser aprofundar o trabalho de Talos e seus alertas, o blog da Cisco Talos é um bom ponto de partida: Cisco Talos — blog.
Diante desta realidade, as autoridades polacas anunciaram reforços legais e técnicos. O primeiro-ministro Donald Tusk salientou a necessidade de normas de gestão de riscos mais rigorosas, protecção de sistemas IT e OT e protocolos de resposta a incidentes, medidas que visam aumentar a resiliência contra as próximas campanhas. A Reuters cobriu a declaração do ministro e o diagnóstico sobre a tentativa falhada: Reuters — cobertura do incidente.
Para empresas e operadores de infra-estruturas, este tipo de ataques oferece várias lições práticas. Manter segmentadas as redes OT e IT, validar e proteger as cópias de segurança (preferivelmente com réplicas air-gapped), implementar detecção precoce baseada em comportamento e enriquecer a inteligência de ameaças com indicadores de campanhas anteriores são medidas que podem marcar a diferença entre uma recuperação rápida e uma crise prolongada. A cooperação internacional e o intercâmbio de informações entre empresas de cibersegurança e governos Também são críticos, porque os adversários não respeitam fronteiras e muitas vezes reutilizam ferramentas e táticas conhecidas.
Além da técnica, o episódio polaco sublinha uma questão geopolítica: quando se atribuem operações a grupos com vínculos estatais, as respostas não são apenas técnicas, mas também diplomáticas e estratégicas. Sanções, acusações públicas e reforços defensivos geralmente fazem parte do repertório, mas a prevenção a longo prazo exige investimento constante em talentos, infraestrutura e políticas públicas que elevenem o limiar de dissuasão.
Em última análise, o que aconteceu na Polónia no final de Dezembro de 2025 é um lembrete de que as redes eléctricas e os sistemas que gerem a transição energética são objectivos atrativos para atores com capacidades sofisticadas. Não bastam defesas reativas: fazem falta estratégias abrangentes, atualizadas e coordenadas para proteger o que, hoje mais do que nunca, se tornou infraestrutura crítica para a vida cotidiana e a segurança coletiva.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...