O Relatório de Incidentes no Setor Energético da CERT Polska 2025 serve para nos lembrar que muitos incidentes cibernéticos não começam com técnicas avançadas ou vulnerabilidades desconhecidas. Em vez disso, têm origem em falhas básicas que nunca foram corrigidas. Credenciais predefinidas. Acessos sem supervisão. Registos que os atacantes podem apagar. Cópias de segurança que não incluem os sistemas que realmente importam.
Em vários dos incidentes descritos, os atacantes não tiveram de se esforçar muito. O próprio ambiente já lhes estava a facilitar a tarefa.
Como os ataques se concretizaram
O relatório descreve vários incidentes em que os atacantes entraram através de vias conhecidas. E-mails de phishing, anexos maliciosos, sites comprometidos e serviços expostos foram todos pontos de partida comuns. Assim que um único terminal era comprometido, os atacantes concentravam-se em agir discretamente, utilizando ferramentas legítimas e protocolos padrão.
Costumava-se partir do princípio de que os dispositivos dentro das redes internas eram seguros. Esta suposição revelou-se errada. O equipamento de rede, as interfaces de gestão e os sistemas operacionais eram, por vezes, implementados com credenciais predefinidas ou partilhadas. Em alguns casos, os atacantes nem precisaram de recorrer a exploits, limitando-se simplesmente a iniciar sessão.
O acesso remoto também teve um papel importante. As ligações VPN nem sempre eram analisadas com rigor e os controlos de autenticação variavam de ambiente para ambiente. Uma vez ligados, os atacantes utilizavam sessões RDP e a partilha de ficheiros SMB para se deslocarem lateralmente, misturando-se no tráfego normal e evitando a deteção imediata.
Por que razão as credenciais predefinidas continuam a ser um dos maiores riscos
As credenciais predefinidas continuam a ser um dos riscos mais facilmente evitáveis, mas continuam a surgir em incidentes reais. O relatório deixa claro que isto não se limita apenas aos dispositivos ligados à Internet. Os sistemas internos, incluindo componentes de tecnologia operacional (OT) e servidores de gestão, foram deixados com credenciais inalteradas ou com acesso administrativo alargado.
Os atacantes procuram primeiro estas falhas. Quando as encontram, assumem o controlo de forma rápida e silenciosa.
Alterar as credenciais predefinidas, limitar as contas partilhadas e garantir a responsabilização pelo acesso privilegiado não são medidas avançadas, mas sim princípios básicos. Quando estas faltam, tudo o resto torna-se mais difícil.
Detetar depois da execução já é tarde demais
É importante referir que, em alguns casos, as ferramentas de segurança de terminais detectaram atividades maliciosas. Isso ajudou a limitar os danos. No entanto, a deteção ocorreu frequentemente depois de o malware já estar em execução.
Assim que o malware é executado, os atacantes podem roubar credenciais, alterar configurações e estabelecer persistência. Nessa altura, a resposta torna-se mais complexa e mais perturbadora.
O relatório destaca a importância de inspecionar os ficheiros antes da sua execução. Os anexos de e-mail, os ficheiros descarregados e os ficheiros introduzidos através de suportes removíveis devem ser analisados e desinfectados antes de chegarem aos sistemas operacionais. Impedir as ameaças logo no ponto de entrada reduz a necessidade de limpeza posterior.
Monitorizar o que os atacantes realmente utilizam
Vários incidentes descritos no relatório envolveram movimentos laterais, em vez de explorações espetaculares: coisas como sessões RDP entre sistemas, partilhas SMB utilizadas para transferir ferramentas e pequenas alterações de configuração que, ao longo do tempo, abriram brechas de segurança.
É fundamental monitorizar a comunicação interna. O tráfego leste-oeste recebe frequentemente menos atenção do que a atividade voltada para a Internet, mas é aí que os atacantes passam a maior parte do tempo, uma vez que conseguem entrar no sistema.
As alterações de configuração merecem a mesma atenção. Firewall , as definições de VPN e as permissões do Active Directory não devem ser alteradas sem aviso prévio. As organizações precisam de ter uma visão clara do que foi alterado, quem efetuou a alteração e porquê. As alterações inesperadas são frequentemente o primeiro sinal de uma violação de segurança.
Registos e cópias de segurança: os pontos que os atacantes tentam comprometer
O relatório também mostra como os atacantes têm como alvo os processos de registo e recuperação. Em alguns incidentes, os registos foram apagados ou alterados, o que atrasou as investigações e limitou a compreensão do que aconteceu.
Os registos de auditoria devem ser encaminhados para um local seguro, onde os atacantes não possam alterá-los ou apagá-los. Idealmente, os registos devem circular apenas numa única direção. Se os atacantes conseguirem apagar os registos, poderão ocultar os seus rastos.
As cópias de segurança requerem o mesmo nível de atenção. Muitas organizações fazem cópias de segurança das configurações, mas esquecem-se do firmware, das imagens completas do sistema e do estado dos terminais. Quando o firmware ou os ficheiros binários do sistema são comprometidos, as cópias de segurança das configurações, por si só, não são suficientes. É essencial dispor de firmware limpo, cópias de segurança dos servidores e imagens fiáveis dos terminais para a recuperação.
A verdadeira lição a reter
O relatório da CERT Polska não descreve falhas causadas pela falta de ferramentas. Descreve falhas causadas por negligência em aspetos básicos, tais como:
- As credenciais predefinidas permaneceram ativas.
- O acesso remoto não é totalmente monitorizado.
- Registos armazenados num local acessível aos atacantes.
- O malware só foi detetado depois de ter entrado em ação.
É uma sorte que alguns ataques tenham sido detetados antes de causarem perturbações graves. Mas a sorte não é um fator de controlo.
As organizações do setor energético devem reduzir o risco numa fase mais precoce da cadeia de ataque — antes que o malware seja executado, antes que as credenciais sejam utilizadas indevidamente e antes que os atacantes consigam apagar os seus rastos. O relatório deixa uma coisa clara: os atacantes estão a utilizar vias previsíveis. E isso significa que os defensores podem bloqueá-las.
Estas correções não são nada de especial, mas são urgentes.
Não espere que o malware seja executado para reagir. Saiba como OPSWAT MetaDefender impede ameaças no ponto de entrada, verificando e limpando ficheiros antes que estes cheguem aos seus sistemas críticos.
