Energia

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

Recentemente, hackers têm utilizado o Microsoft SharePoint como vetor para realizar ataques direcionados a grandes empresas do setor de energia. O método envolve o roubo de credenciais de funcionários, que são inicialmente comprometidas através de e-mails falsos. Os cibercriminosos enviam mensagens que contêm links para sites fraudulentos, onde as vítimas, ao tentarem fazer login, acabam entregando suas credenciais aos atacantes. Uma vez que os hackers obtêm acesso às contas de e-mail corporativas, eles estabelecem persistência no sistema, criando regras para ocultar suas atividades, como deletar mensagens e marcar e-mails como lidos. Isso permite que eles enviem grandes volumes de e-mails de phishing para contatos internos e externos sem levantar suspeitas. A Microsoft alerta que redefinir senhas não é suficiente, pois os atacantes podem alterar configurações de autenticação, incluindo a autenticação de dois fatores, para manter o controle. A recomendação é que as empresas adotem políticas de segurança rigorosas, como monitoramento de IP e localização, e que os usuários permaneçam cautelosos ao clicar em links desconhecidos.

A Microsoft alertou sobre uma campanha de phishing em múltiplas etapas, conhecida como adversário-no-meio (AitM), que está afetando organizações do setor de energia. Os atacantes utilizam serviços de compartilhamento de arquivos do SharePoint para entregar cargas maliciosas, criando regras de caixa de entrada para manter a persistência e evitar a detecção. O ataque começa com um e-mail de phishing, aparentemente enviado de uma organização confiável, que foi comprometida anteriormente. Os criminosos exploram essa confiança para enviar mensagens que imitam fluxos de trabalho de compartilhamento de documentos do SharePoint, induzindo os destinatários a clicarem em links maliciosos. Após a exploração inicial, os atacantes utilizam identidades internas confiáveis para realizar campanhas de phishing em larga escala, enviando mais de 600 e-mails para contatos da vítima, tanto internos quanto externos. A Microsoft enfatiza que a simples redefinição de senhas não é suficiente para mitigar a ameaça, sendo necessário revogar cookies de sessão ativos e remover regras de caixa de entrada criadas pelos atacantes. As organizações são aconselhadas a implementar controles de segurança robustos, como autenticação multifator resistente a phishing e políticas de acesso condicional.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta crítico sobre vulnerabilidades sérias no sistema TLS4B Automatic Tank Gauge da Veeder-Root, que podem permitir a execução de comandos de sistema por atacantes. Identificadas por pesquisadores da Bitsight, as falhas incluem uma injeção de comando (CVE-2025-58428) com uma pontuação CVSS de 9.9, que permite que atacantes remotos, utilizando credenciais válidas, executem comandos no sistema Linux subjacente. A segunda vulnerabilidade, relacionada a um estouro de inteiro (CVE-2025-55067), afeta o tratamento de valores de tempo Unix e pode causar falhas de autenticação e interrupções em funções críticas do sistema. A Veeder-Root já lançou uma versão corrigida (11.A) para a falha de injeção de comando, mas um conserto permanente para o estouro de inteiro ainda está em desenvolvimento. A CISA recomenda que as organizações atualizem imediatamente para a versão corrigida e adotem práticas de segurança de rede para minimizar a exposição à internet. Embora não haja exploração pública conhecida dessas vulnerabilidades até a data do alerta, a gravidade das falhas exige atenção urgente das organizações, especialmente no setor de energia, onde esses sistemas são amplamente utilizados.