- Por que razão os wiper são a arma preferida nos ataques de OT?
- O manual de quatro fases utilizado pelo malware Wiper
- Como são os ataques de apagamento de dados na vida real em ambientes de TI operacional?
- Por que é que todos os ataques de limpeza começam com um ficheiro que atravessa uma fronteira de confiança?
- O mais recente ataque cibernético ao setor energético da Venezuela
- Amostras e indicadores de limpa-vidros referidos nesta análise
- Impedir os ataques do Wiper antes que sejam executados
No nosso blog anterior, analisámos os principais ciberataques a sistemas ICS e OT ocorridos entre 2024 e o início de 2026. Um padrão destacou-se: os «wipers» tornaram-se a arma preferida de agentes patrocinados por Estados que têm como alvo ambientes de tecnologia operacional. Seis campanhas distintas de «wipers» afetaram setores industriais entre 2024 e 2025, incluindo redes elétricas, sistemas de abastecimento de água, cuidados de saúde e indústria transformadora em todo o mundo.
Este artigo analisa essa tendência em pormenor. Explica por que razão os wipers são eficazes em ambientes OT, analisa três incidentes reais e identifica o padrão de ataque recorrente por trás deles. Enquanto escrevia este artigo, surgiu outro exemplo. Uma ameaça recentemente divulgada, o Lotus Wiper, teve como alvo o setor energético da Venezuela. Esse caso está incluído na secção final.
Por que razão os wiper são a arma preferida nos ataques de OT?
Os wipers foram concebidos para destruir dados, o que os torna fundamentalmente diferentes do ransomware. Uma vez que não permitem a extorsão, não constituem uma ferramenta útil para os autores de ameaças motivados exclusivamente pelo lucro financeiro. Em contrapartida, são altamente eficazes para os autores cujo objetivo é causar perturbações ou danos, especialmente quando pretendem traduzir operações cibernéticas em impacto no mundo real, mantendo simultaneamente um elevado grau de anonimato. Por esta razão, os wipers são frequentemente associados a atividades patrocinadas pelo Estado.
Em ambientes tradicionais de TI, os programas de limpeza (wipers) destinam-se principalmente a destruir ficheiros. Embora isso possa ser altamente perturbador, o impacto é frequentemente recuperável se existirem cópias de segurança fiáveis. No entanto, a situação é diferente em ambientes de OT e ICS. Sistemas como servidores SCADA, estações de trabalho de engenharia e ecrãs HMI não se limitam a armazenar dados. Controlam e monitorizam ativamente processos físicos. Quando os dados nestes sistemas são destruídos, os operadores perdem a visibilidade e o controlo sobre as operações, ficando efetivamente cegos em relação ao que está a acontecer no terreno.
É aqui que os wipers se tornam particularmente perigosos. Podem servir de ponte entre os ciberataques e as consequências físicas. Devido a esta capacidade, os agentes patrocinados por Estados recorrem frequentemente aos wipers. A sua utilização é frequentemente observada em regiões afetadas por conflitos armados ou tensões geopolíticas intensificadas, onde o objetivo principal é causar perturbações.
O manual de quatro fases utilizado pelo malware Wiper
Todos os wiper analisados, independentemente do idioma, da plataforma ou do grau de sofisticação, seguem o mesmo padrão básico. Compreender estas fases constitui um ponto de partida prático para a defesa contra ataques de wiper.
Fase 1: Inicialização
O wiper prepara a sua carga de corrupção, gerando normalmente dados pseudoaleatórios através de um gerador de números aleatórios comum. Os dados aleatórios tornam a recuperação forense mais difícil do que a sobrescrita com zeros.
Fase 2: Descoberta
O wiper mapeia tudo o que pode destruir, enumerando unidades, volumes, diretórios e ficheiros.
Fase 3: Destruição
O programa de limpeza abre cada ficheiro, remove os atributos de proteção e sobrescreve-o com dados aleatórios. Alguns também eliminam os ficheiros posteriormente. Outros têm como alvo o Registo de Arranque Principal (MBR) ou a Tabela de Ficheiros Principal (MFT), tornando todo o disco ilegível.
Fase 4: Anti-Recuperação
Um reinício forçado consolida os danos. O programa de limpeza eleva os seus privilégios, obtém direitos de desligamento e reinicia o sistema. Quando, e se, o sistema voltar a arrancar, não restará nada para restaurar.
A secção seguinte aplica este manual a incidentes reais.
Como são os ataques de apagamento de dados na vida real em ambientes de TI operacional?
DynoWiper — Rede Elétrica da Polónia
Autor: Sandworm/ELECTRUM (GRU)
Alvo: Polónia, setor energético (recursos energéticos distribuídos)
Formato: Ficheiro executável do Windows (binário PE) transmitido através de uma rede comprometida
Em dezembro de 2025, o Sandworm, a unidade mais competente do GRU especializada em sistemas de controlo industrial (ICS), atacou a infraestrutura elétrica da Polónia com o DynoWiper. Segundo a Dragos, este foi o primeiro ciberataque coordenado em grande escala dirigido contra recursos energéticos distribuídos (DER).
Foram afetados cerca de 30 locais, incluindo centrais de cogeração, parques eólicos e sistemas de gestão de energia solar. Ao contrário de ataques anteriores, que se centravam em centrais elétricas centralizadas, esta operação teve como alvo instalações mais pequenas e distribuídas, que estão a expandir-se rapidamente nos mercados energéticos modernos. Estes ambientes também costumam estar menos protegidos.
O ataque pode ter afetado até 500 000 residentes. O primeiro-ministro da Polónia afirmou que a rede de transmissão não estava em risco, mas que os atacantes acederam aos sistemas de operação (OT) e desativaram permanentemente alguns equipamentos. O DynoWiper seguiu à risca o plano de quatro fases: geração de carga útil pseudoaleatória, enumeração de unidades, sobrescrita de ficheiros e reinicialização forçada. Foi executado como um binário compilado concebido para a destruição sistemática.
PathWiper — Infraestruturas críticas da Ucrânia
Ator: Russia-nexus (unidade não especificada)
Alvo: Ucrânia, infraestruturas críticas (vários setores)
Forma de entrega: dropper VBScript emparelhado com um executável
O PathWiper foi utilizado contra infraestruturas críticas ucranianas por um agente ligado à Rússia, no âmbito de uma campanha cibernética em curso durante o conflito. Enquanto o DynoWiper visava um setor específico, o PathWiper visava as infraestruturas críticas de forma mais abrangente, afetando vários serviços essenciais durante o conflito.
O que o distingue é a exaustividade da destruição. O PathWiper não se limita a sobrescrever ficheiros. Destrói o armazenamento local ao nível do volume. Num conflito armado, a eliminação dos sistemas que gerem serviços essenciais tem consequências que vão além da perda de dados.
Aplicam-se as mesmas quatro fases, mas o PathWiper leva a fase de destruição mais longe do que a maioria. Ao visar o armazenamento ao nível do volume, em vez de ficheiros individuais, garante que mesmo uma recuperação forense parcial seja efetivamente impossível. O objetivo é o apagamento total, não apenas dos dados, mas também da capacidade do sistema de funcionar.
LazyWiper — O setor industrial da Polónia
Autor: Sandworm/ELECTRUM (GRU)
Alvo: Polónia, setor industrial
Forma de ataque: Script PowerShell distribuído através de Objetos de Política de Grupo (GPO)
O LazyWiper não foi uma campanha independente. Atacou no mesmo dia que o DynoWiper, 29 de dezembro de 2025, como parte da mesma operação coordenada. No entanto, teve como alvo uma empresa de produção, e o CERT Polska classificou-o como um ataque oportunista. Os atacantes identificaram um ponto de entrada exposto e utilizaram-no.
Esse ponto de entrada foi um dispositivo Fortinet cuja configuração tinha sido roubada e publicada num fórum criminoso. Os atacantes utilizaram as credenciais divulgadas para estabelecer acesso persistente, avançaram lateralmente para privilégios de administrador de domínio e instalaram o LazyWiper em todas as máquinas através de GPO. Ao contrário do binário compilado do DynoWiper, o LazyWiper é um script PowerShell. Desativa o Defender, utiliza ferramentas de gestão integradas do Windows para mapear todas as unidades, renomeia ficheiros com nomes aleatórios de quatro caracteres e sobrescreve-os com dados pseudoaleatórios.
Há um pormenor que torna este caso especialmente notável. A CERT Polska concluiu que partes do código responsável pela sobrescrita de ficheiros foram provavelmente geradas por um modelo de linguagem de grande dimensão, o que indica o desenvolvimento de malware com assistência de IA em ambiente real. Se os defensores partirem do princípio de que os wipers se apresentam sempre como malware compilado tradicional, o LazyWiper salienta a necessidade de ter em conta as ameaças baseadas em scripts e geradas dinamicamente.
Por que é que todos os ataques de limpeza começam com um ficheiro que atravessa uma fronteira de confiança?
Todos os incidentes descritos neste blogue, bem como todos os incidentes mencionados no relatório anterior sobre o panorama das ameaças, têm uma característica comum: um ficheiro ultrapassou um limite de confiança. Os formatos e os métodos de entrega podem variar, mas o padrão é o mesmo.
- DynoWiper: executável do Windows distribuído através de uma rede comprometida
- PathWiper: um dropper em VBScript associado a um executável
- LazyWiper: Script do PowerShell aplicado através de GPO
Sandbox Adaptive Sandbox OPSWATSandbox todos os ficheiros em cada limite de confiança antes de estes chegarem à estação de trabalho de engenharia, antes de interagirem com o sistema SCADA e antes de passarem da área de TI para a área de OT. Não se baseia na observação de comportamentos destrutivos. Em vez disso, identifica capacidades maliciosas num ambiente controlado antes de o ficheiro ser considerado confiável.
Se a sua empresa atua nos setores da energia, água, indústria transformadora, cuidados de saúde ou administração pública, os wipers fazem parte do seu modelo de ameaças, quer sejam explicitamente considerados ou não.
Os wipers irão evoluir com novas linguagens, métodos de entrega e alvos, mas o padrão mantém-se consistente. Um ficheiro tem de chegar, aceder a um sistema e ser executado. Isto tem-se mantido verdadeiro desde o Stuxnet, em 2010, até ao DynoWiper, em 2025. A inspeção do ficheiro antes de este atravessar a fronteira é uma medida de controlo que se aplica a todos os wipers, agentes e setores.
O mais recente ataque cibernético ao setor energético da Venezuela
Enquanto este artigo estava a ser finalizado, a 21 de abril, a Kaspersky GReAT deu a conhecer um wiper até então desconhecido, o Lotus Wiper, que tem como alvo o setor da energia e dos serviços públicos da Venezuela.
O ataque é metódico. Dois scripts em lote isolam primeiro o computador, desativando serviços, encerrando interfaces de rede e encerrando sessões. Em seguida, apagam volumes de disco, sobrescrevem pastas e preenchem o espaço de armazenamento restante. Só após estas etapas é que a carga útil final é executada.
O wiper disfarça-se como um componente legítimo de software empresarial, sendo distribuído de forma encriptada e desencriptado durante a execução. Uma vez ativo, o sistema fica impossível de arrancar, sem que seja possível recuperar quaisquer dados. Não há exigência de resgate nem indícios de exfiltração de dados com fins lucrativos. Tal como os outros wipers abordados neste artigo, o Lotus Wiper foi concebido para causar destruição.
O mesmo padrão repete-se em tempo real. Um ficheiro atravessa uma barreira de confiança, é executado e destrói tudo o que consegue atingir. A inspeção ao nível do ficheiro antes da descodificação da carga útil representa a primeira oportunidade de interceção.
Amostras e indicadores de limpa-vidros referidos nesta análise
Limpador | Tipo | Alvo | Ator | Hash / Indicador |
DynoWiper | Windows PE | Polónia, Energia | Sandworm/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ucrânia, Infraestruturas críticas | Relação com a Rússia | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Polónia, Indústria transformadora | Sandworm/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Limpador Lotus | Windows PE | Venezuela, Energia e Serviços Públicos | Desconhecido (por motivos geopolíticos) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Impedir os ataques do Wiper antes que sejam executados
Os ataques Wiper seguem um padrão consistente em todos os ambientes, setores e autores de ameaças. Independentemente da forma como são lançados ou da linguagem que utilizam, seguem sempre a mesma sequência: um ficheiro ultrapassa uma barreira de confiança, é executado e destrói os dados do sistema.
Esta consistência cria uma oportunidade clara de defesa. Identificar e analisar os ficheiros antes de lhes ser atribuída confiança continua a ser uma das formas mais eficazes de impedir que os programas de apagamento causem danos.
MetaDefender adota uma abordagem em camadas para resolver este problema. Combina análise de reputação em tempo real, sandboxing avançado e correlação comportamental para detetar ameaças desconhecidas e evasivas antes da sua execução. A sua análise baseada em emulação revela cargas úteis ocultas, descompacta malware de múltiplas fases e identifica indicadores de comprometimento sem depender de assinaturas.
Para as organizações que operam infraestruturas críticas, esta abordagem permite uma deteção mais precoce no ponto onde os ataques têm início, antes que as perturbações atinjam os sistemas OT. Para compreender como isto se aplica ao seu ambiente, contacte um OPSWAT para discutir MetaDefender .
