Polônia

A polícia da Polônia prendeu um homem de 47 anos suspeito de ligação com o grupo de ransomware Phobos, durante uma operação conjunta que resultou na apreensão de computadores e celulares contendo credenciais roubadas, números de cartões de crédito e dados de acesso a servidores. A ação faz parte da ‘Operação Aether’, uma iniciativa internacional coordenada pela Europol, que visa desmantelar a infraestrutura do ransomware Phobos e seus afiliados. Durante a busca na residência do suspeito, foram encontrados arquivos que poderiam ser utilizados para acessar sistemas de computador de forma não autorizada e facilitar ataques de ransomware. O homem se comunicava com a organização criminosa por meio de aplicativos de mensagens criptografadas. Ele enfrenta acusações sob o Código Penal Polonês, podendo pegar até cinco anos de prisão se condenado. O ransomware Phobos, que opera como um serviço (RaaS), tem sido responsável por uma série de ataques a empresas em todo o mundo, com pagamentos de resgates que ultrapassam 16 milhões de dólares. A Operação Aether já resultou em várias prisões e na interrupção de atividades do grupo, incluindo a extradição de um administrador para os Estados Unidos e a apreensão de servidores na Tailândia.

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

Um ciberataque direcionado à rede elétrica da Polônia, ocorrido entre 29 e 30 de dezembro de 2025, foi atribuído ao grupo de hackers Sandworm, supostamente patrocinado pelo Estado russo. Durante o ataque, o grupo tentou implantar um novo malware destrutivo chamado DynoWiper, que tem a capacidade de apagar dados de forma irreversível. O ataque visou duas usinas de cogeração e um sistema de gerenciamento de energia renovável, resultando em um impacto significativo na infraestrutura elétrica do país. O malware DynoWiper, identificado como Win32/KillFiles.NMO, apaga arquivos do sistema, tornando-o inutilizável. O primeiro-ministro polonês, Donald Tusk, afirmou que as evidências indicam que o ataque foi preparado por grupos ligados aos serviços russos. Embora detalhes técnicos sobre o DynoWiper sejam escassos, a ESET, empresa de segurança cibernética, está monitorando a situação. Este ataque é parte de uma série de ações do Sandworm, que anteriormente já havia realizado ataques semelhantes na Ucrânia, afetando setores críticos como energia e educação. A situação destaca a crescente ameaça de ciberataques a infraestruturas críticas na Europa, especialmente em um contexto geopolítico tenso.

Uma campanha de espionagem cibernética sofisticada, atribuída ao grupo UAC-0057, vinculado ao governo da Bielorrússia, tem como alvo organizações na Ucrânia e na Polônia desde abril de 2025. Os atacantes utilizam arquivos comprimidos armados que contêm convites em PDF que parecem legítimos e planilhas Excel maliciosas. Os documentos de disfarce são projetados para parecer autênticos, como um convite oficial para uma assembleia geral da União de Municípios Rurais da Polônia e um documento sobre serviços do Ministério da Transformação Digital da Ucrânia. Após a execução de macros ofuscadas em arquivos XLS, os atacantes conseguem instalar DLLs maliciosas que coletam informações do sistema. A infraestrutura de suporte do UAC-0057 demonstra técnicas de imitação sofisticadas, registrando domínios que se assemelham a sites legítimos. A persistente mira na Ucrânia e na Polônia reflete os interesses geopolíticos do grupo, alinhados com o governo bielorrusso.