Os ataques a sistemas de controlo industrial (ICS) e à tecnologia operacional (OT) aceleram à medida que a atividade de ameaças se intensifica
Nos últimos dois anos, os ataques contra sistemas de controlo industrial e tecnologia operacional passaram de um risco teórico para uma realidade operacional. Os Estados-nação já não se limitam a preparar-se dentro das infraestruturas críticas. Estão a agir. Os programas de eliminação de dados ultrapassaram o ransomware como a arma preferida dos agentes patrocinados por Estados que têm como alvo os ambientes de tecnologia operacional. Um único padrão liga quase todos os incidentes de maior gravidade: um ficheiro malicioso ultrapassou uma barreira de confiança que ninguém estava a inspecionar.
Este artigo analisa o panorama das ameaças aos sistemas ICS/OT desde 2024 até ao início de 2026, não como um catálogo de nomes de APT e números CVE, mas sim como uma narrativa. Começamos por uma visão geral: o que aconteceu e quando. Em seguida, analisamos quem está por trás disso, como o fizeram e, por fim, analisamos um incidente em pormenor para mostrar como se apresenta, por dentro, um ataque wiper moderno a sistemas ICS.
Números-chave
- Em 2025, 119 grupos de ransomware atacaram ativamente ambientes de TI operacional, o que representa um aumento de 49% em relação aos 80 registados em 2024
- Mais de dois terços de todas as vítimas de ransomware no setor de TI industrial eram fabricantes, o setor mais visado
- O Volt Typhoon operou sem ser detetado na rede OT de uma empresa de eletricidade dos EUA durante mais de 300 dias
- Só entre 2024 e 2025, seis campanhas de ataque visaram sistemas ICS/OT, mais do que em qualquer outro período comparável
Visão geral da cronologia de incidentes de ICS/OT
Antes de analisar quem está por trás destes ataques ou como funcionam, é útil visualizá-los numa linha do tempo. A tabela abaixo apresenta todos os incidentes significativos relacionados com ICS/OT deste período — classificados por setor, agente malicioso e localização geográfica — para que se possa orientar antes de aprofundar o assunto.
Data | Incidente | Setor | Ator | Geografia |
Abril de 2026 | Grupo de ciberataques iraniano que explora os PLCs da Rockwell — a perturbar as operações em toda a infraestrutura crítica dos EUA | Energia Água Governo | Grupo IRGC-CEC / CyberAv3ngers | Estados Unidos |
Março de 2026 | O Handala Wiper coloca a Stryker fora de serviço — alegadamente, mais de 200 mil dispositivos foram apagados em 79 países | Cuidados de saúde | Handala / Manticora do Vazio (MOIS) | Global (79 países) |
2025 | A DynoWiper tem como alvo a rede elétrica polaca e as fontes de energia renováveis distribuídas (DER) | Energia | Sandworm / ELECTRUM (GRU) | Polónia (OTAN) |
2025 | O PathWiper foi utilizado contra infraestruturas críticas ucranianas | Infraestruturas críticas | Relação com a Rússia | Ucrânia |
2025 | BAUXITE / Campanha do toalhete BlueWipe-SewerGoo | Armazenamento de energia | BAUXITE (IRGC-CEC) | Israel |
2025 | O PYROXENE wiper tem como alvo o governo e infraestruturas críticas | Infraestruturas críticas do governo | PYROXENE (IRGC-CEC / APT35) | Israel, Albânia |
2025 | SYLVANITE → VOLTZITE: intrusões na cadeia de abastecimento | Energia Água | ligado ao Estado da RPC | Estados Unidos |
2025 | A KAMACITE está a analisar alvos industriais nos EUA | Fabrico | Rússia (ligada ao GRU) | Estados Unidos |
2025 | O Z-PENTEST compromete a interface homem-máquina (HMI) de uma barragem norueguesa | Água/Barragem | Z-PENTEST (pró-Rússia) | Noruega |
Janeiro de 2024 | O FrostyGoop interrompe o aquecimento urbano de Lviv através do Modbus TCP | Energia/Aquecimento | ligado à Rússia | Ucrânia |
2024 | Volt Typhoon / VOLTZITE — Mais de 300 dias na rede de distribuição de energia dos EUA | Energia Água | PRC (Volt Typhoon) | Estados Unidos |
2024 | O programa malicioso AcidPour tem como alvo as infraestruturas de telecomunicações ucranianas | Telecomunicações | Sandworm (GRU) | Ucrânia |
2024 | Sandworm Spring — ataque à cadeia de abastecimento nos setores da energia e da água | Energia Água | Sandworm (GRU) | Ucrânia |
Agosto de 2024 | A Halliburton foi alvo do RansomHub — impacto de 35 milhões de dólares | Petróleo e gás | RansomHub | Estados Unidos |
2024 | O Fuxnet destrói a infraestrutura de sensores dos serviços públicos de Moscovo | Utilidades | BlackJack (ligado à Ucrânia) | Rússia |
Setembro de 2024 | Ransomware que afetou o sistema de tratamento de água de Arkansas City, no Kansas | Água | Ransomware Hazard | Estados Unidos |
2023–24 | CyberAv3ngers / IOCONTROL — Mais de 75 dispositivos comprometidos em instalações de abastecimento de água nos EUA | Água | Garda Revolucionária Islâmica do Irão (IRGC) | Estados Unidos, Israel |
Janeiro de 2024 | Transbordamento do reservatório de água de Muleshoe, Texas, através de um HMI exposto | Água | CyberArmyofRussia_Reborn | Estados Unidos |
Aumento das campanhas de limpeza e expansão dos alvos de horas extraordinárias
O ritmo está a acelerar. Só em 2025, registaram-se mais campanhas de wiper específicas contra sistemas ICS/OT do que em qualquer ano anterior. A dispersão geográfica alargou-se, ultrapassando o teatro de operações Ucrânia-Rússia e estendendo-se a Estados-Membros da NATO, como a Polónia, à Europa Ocidental, incluindo a Noruega, e ao Médio Oriente, incluindo Israel. A diversidade setorial também se expandiu para além dos setores da energia e da água, abrangendo agora os cuidados de saúde, as telecomunicações e a indústria transformadora.
Estes ataques atingem diferentes países, setores e vítimas — mas todos começam da mesma forma: com um ficheiro que passou despercebido por todos. Basta ativar um só para perceber imediatamente que foi concebido para destruir.
Grupos de Estados-nação e hacktivistas Drive dos ataques a Drive
A cronologia acima é densa, mas não é aleatória. Os incidentes concentram-se em torno de um pequeno número de grupos de intervenientes, cada um com motivações, capacidades e alvos preferidos distintos.
Rússia — continua a ser a maior fonte de ameaças ao ICS
Os agentes ligados à Rússia representam a maior parte das atividades dirigidas a sistemas de controlo industrial (ICS) neste período, operando através de vários grupos com funções diferentes.
O Sandworm (ELECTRUM) continua a ser o adversário mais perigoso do mundo especializado em sistemas de controlo industrial (ICS). A sua campanha de dezembro de 2025 contra a rede elétrica da Polónia teve como alvo cerca de 30 instalações de energia distribuída, incluindo centrais de cogeração e sistemas de gestão de energia renovável, como a eólica e a solar. Este foi o primeiro grande ciberataque coordenado a visar recursos de energia distribuída em grande escala.
O malware DynoWiper utilizado nesse ataque era um wiper do Windows PE direcionado contra infraestruturas energéticas. Este apagou máquinas com sistema Windows em instalações de recursos energéticos distribuídos (DER) e inutilizou definitivamente alguns equipamentos de tecnologia operacional (OT) e sistemas de controlo industrial (ICS). Embora não se tenham registado cortes de energia, os atacantes conseguiram aceder a sistemas de tecnologia operacional essenciais para o funcionamento da rede elétrica.
Anteriormente, a sua campanha PathWiper tinha como alvo infraestruturas críticas ucranianas, utilizando um dropper VBScript em conjunto com um wiper PE que destrói o MBR e MFT sobrescreve ficheiros em todas as unidades de disco. Em 2024, lançaram o AcidPour, um wiper ELF para Linux, contra infraestruturas de telecomunicações ucranianas e orquestraram um ataque à cadeia de abastecimento que visava sistemas de energia e de abastecimento de água.
O KAMACITE funciona como a camada de infraestrutura de suporte. Em 2025, este grupo ligado ao GRU foi observado a realizar análises de reconhecimento de alvos industriais nos EUA, o que constitui uma atividade de preparação que, historicamente, antecede as operações destrutivas do ELECTRUM.
China — paciente, profunda e com um âmbito em expansão
A abordagem da China é fundamentalmente diferente da da Rússia. Enquanto os atores russos destroem, os chineses persistem.
Foi confirmado que o VOLTZITE (Volt Typhoon) esteve presente na rede OT de uma empresa de eletricidade dos EUA durante mais de 300 dias, extraindo dados do GIS e configurações do sistema OT. Não se tratou de espionagem por si só. O padrão de posicionamento prévio é consistente com a preparação para uma futura perturbação da infraestrutura elétrica dos EUA.
Em 2025, o agente de acesso inicial SYLVANITE explorou rapidamente vulnerabilidades em dispositivos VPN da Ivanti, equipamentos da F5 e outras infraestruturas de perímetro. Esses pontos de acesso foram então introduzidos no pipeline VOLTZITE para permitir intrusões mais profundas na OT. Os alvos expandiram-se para incluir empresas de eletricidade e de abastecimento de água.
O AZURITE, um grupo recentemente identificado em 2025, representa uma escalada nos ataques dirigidos a redes operacionais (OT) associados à China. O AZURITE tem como alvo ativo estações de trabalho de engenharia de redes operacionais nos setores da indústria transformadora, da defesa e automóvel nos EUA, na Austrália e na Europa. O grupo concentra-se na exfiltração de diagramas de rede, dados de alarmes e configurações de processos.
Irão — ultrapassar os limites e recorrer à violência física
Os agentes apoiados pelo Estado iraniano deram uma viragem decisiva neste período, passando de um acesso oportunista para um ataque deliberado a processos físicos.
O grupo CyberAv3ngers (BAUXITE / IRGC) comprometeu mais de 75 dispositivos em várias instalações de abastecimento de água nos EUA entre 2023 e 2024, incluindo a tomada de controlo direta de um PLC numa estação de reforço na Pensilvânia. O seu malware IOCONTROL, um binário Linux com comando e controlo baseado em MQTT incorporado em pacotes de atualização do firmware dos dispositivos, foi especificamente concebido para comprometer dispositivos OT. Em 2025, o grupo BAUXITE lançou variantes do wiper BlueWipe-SewerGoo contra infraestruturas de energia e armazenamento israelitas.
O PYROXENE (IRGC-CEC, com sobreposição com o APT35) atacou infraestruturas críticas e redes governamentais em Israel e na Albânia em 2025. O grupo utilizou uma combinação de engenharia social e comprometimento da cadeia de abastecimento para distribuir cargas úteis do tipo «wiper» em formato PE.
O Handala representa a linha ténue entre o hacktivismo e a destruição orquestrada pelo Estado. Considerado por várias empresas de inteligência de ameaças como uma fachada para um agente malicioso denominado Void Manticore, patrocinado pelo Ministério da Inteligência e Segurança do Irão, o grupo surgiu no final de 2023 e, desde então, tem levado a cabo operações contínuas de apagamento de dados contra alvos israelitas.
O seu conjunto de ferramentas é tecnicamente sofisticado. Os e-mails de phishing, frequentemente redigidos num hebraico fluente, enviam um instalador do NSIS que executa um script AutoIT para injetar o wiper num processo legítimo do Windows. A carga útil final sobrescreve os ficheiros com dados aleatórios, eleva os privilégios utilizando um controlador vulnerável e extrai informações do sistema através API do Telegram API destruir os dados.
Este instalador tem muitas partes móveis — ficheiros divididos, com nomes falsos, e comandos montados à medida que é executado. Mas cada passo resume-se, na verdade, a mais um ficheiro a ser colocado e executado. A análise do exemplo revela toda a sequência antes de o wiper apagar qualquer coisa.
Em março de 2026, o grupo Handala atacou a Stryker, um fabricante de dispositivos médicos incluído na lista da Fortune 500, apagando dados de dispositivos em 79 países através do uso indevido do Microsoft Intune, a plataforma de gestão de terminais da empresa. Não foi necessário recorrer a malware personalizado para a fase destrutiva. O acesso ao Intune com privilégios de administrador proporcionou um «kill switch» centralizado para os dispositivos registados.
Em abril de 2026, um comunicado conjunto de seis agências norte-americanas alertou que o mesmo grupo iraniano vinha a perturbar ativamente os controladores lógicos programáveis (PLC) da Rockwell ligados à Internet em alvos governamentais, do setor da água e da energia, pelo menos desde março de 2026. Os atacantes utilizaram software de engenharia legítimo da Rockwell para adulterar ficheiros de projeto de PLC e manipular os ecrãs dos operadores, explorando uma falha conhecida que permitia contornar a autenticação (CVE-2021-22681). Trata-se de uma perturbação ativa de processos industriais em solo americano.
Hacktivistas — a chegar à camada física
Os grupos de hacktivistas pró-russos ultrapassaram um limiar neste período. O Z-PENTEST comprometeu uma interface homem-máquina (HMI) ligada à Internet numa barragem norueguesa em 2025, aproveitando-se de uma palavra-passe fraca, e conseguiu assim a capacidade de manipular os sistemas físicos de controlo da água. O CyberArmyofRussia_Reborn acedeu a uma HMI em Muleshoe, no Texas, provocando o transbordamento de um reservatório de água antes de o pessoal ter passado a operar manualmente.
Não se trata de ataques sofisticados. São ataques simples, oportunistas e cada vez mais graves. O obstáculo para causar perturbações físicas em ambientes de OT é menor do que muitos operadores imaginam.
Ataques baseados em ficheiros, programas de apagamento e pivoting entre TI e OT caracterizam as intrusões em ICS/OT
Em todos estes incidentes, que envolvem diferentes intervenientes, setores e regiões geográficas, revela-se um conjunto consistente de padrões.
Os limpadores tornaram-se a principal ferramenta de destruição
Esta é a tendência mais significativa na atividade de ameaças a sistemas ICS e OT. Só entre 2024 e 2025, pelo menos seis campanhas distintas de wiper visaram ambientes de infraestruturas industriais e críticas: o DynoWiper, que visou o setor energético da Polónia; o PathWiper, que visou infraestruturas críticas ucranianas; o AcidPour, que visou as telecomunicações ucranianas; o BAUXITE ou BlueWipe-SewerGoo, que visou o setor energético israelita; o PYROXENE, que visou o governo e infraestruturas críticas em Israel e na Albânia; e o Handala, que visou o setor da saúde a nível global.
Os programas de limpeza estão a tornar-se cada vez mais direcionados. O DynoWiper foi utilizado especificamente contra infraestruturas energéticas na Polónia, limpando máquinas com Windows em instalações de energia distribuída e inutilizando alguns equipamentos de tecnologia operacional (OT) de forma irrecuperável. O PathWiper destrói o MBR e MFT sobrescrever os ficheiros, tornando a recuperação o mais difícil possível. O AcidPour tem como alvo dispositivos Linux incorporados, limpando volumes UBI e partições Device Mapper utilizadas em equipamentos de tecnologia operacional (OT).
O ataque Stryker da Handala revelou um tipo diferente de evolução. Em vez de lançarem malware personalizado em grande escala, os atacantes abusaram de uma ferramenta legítima de gestão empresarial chamada Microsoft Intune para emitir um comando de apagamento em massa em todos os dispositivos registados simultaneamente. Isto transformou efetivamente a própria infraestrutura da organização numa arma. Não se trata de ferramentas de uso geral adaptadas para a OT. São concebidas ou aproveitadas especificamente para os ambientes que afetam.
O malware específico para sistemas de controlo industrial está a tornar-se cada vez mais sofisticado
O FrostyGoop merece uma atenção especial por se tratar de um marco histórico. Lançado contra o sistema de aquecimento urbano de Lviv em janeiro de 2024, foi o primeiro malware a explorar diretamente o protocolo Modbus TCP num ambiente de produção. Escrito em Go e compilado como um binário PE do Windows, foi introduzido através da rede de engenharia, passando da TI para a OT por meio de uma transferência de ficheiros. O ataque deixou mais de 600 edifícios de apartamentos sem aquecimento durante dois dias, em temperaturas abaixo de zero.
O FrostyGoop é importante porque o Modbus TCP é amplamente utilizado em ambientes industriais em todo o mundo. O malware demonstrou que os atacantes já não se limitam a visar estações de trabalho Windows adjacentes à OT. Atualmente, estão a criar código que comunica diretamente com protocolos industriais.
O objetivo do FrostyGoop está bem claro no código que carrega — as bibliotecas que importa existem com um único propósito: comunicar com controladores industriais
Cada violação de segurança OT tem um registo na sua cadeia de ataque
Este é o denominador comum. Em todos os incidentes registados na cronologia, independentemente do agente, do setor ou da localização geográfica, um ficheiro malicioso ultrapassou uma barreira de confiança em algum ponto da cadeia de ataque:
- Os programas maliciosos foram distribuídos sob a forma de ficheiros executáveis PE, droppers VBScript e ficheiros binários ELF para Linux.
- A cadeia de abastecimento foi comprometida através de pacotes de instalação e atualizações de software infectados com trojans.
- O spearphishing distribuiu documentos maliciosos, incluindo ficheiros Excel com macros VBA e ficheiros OneNote com cargas maliciosas incorporadas.
- O malware específico para ICS surgiu sob a forma de ficheiros binários Go compilados, como o FrostyGoop, cargas úteis em Python, como o Triton e o COSMICENERGY, e ficheiros binários PE personalizados, como o Industroyer2 e o DynoWiper.
- Mesmo campanhas que vivem da terra, como a Volt Typhoon, deixaram vestígios, incluindo web shells, scripts de movimento lateral e ferramentas de recolha de credenciais, nos sistemas comprometidos.
- As cargas úteis de ransomware que afetaram ambientes adjacentes à OT, como a Halliburton e Arkansas City, foram disseminadas através de anexos de phishing e de ataques a servidores.
Os tipos de ficheiros variam. Os mecanismos de entrega variam. Os intervenientes variam. O padrão mantém-se consistente: um ficheiro entra no ambiente, atravessa uma zona de confiança e ou é executado diretamente ou dá início à fase seguinte do ataque.
Os dispositivos de borda e as IHMs expostas constituem o novo perímetro
Tanto o ataque à barragem Z-PENTEST na Noruega como o transbordamento da barragem de Muleshoe no Texas exploraram a mesma vulnerabilidade: interfaces homem-máquina (HMI) expostas à Internet com credenciais fracas ou predefinidas. A campanha CyberAv3ngers contra instalações de abastecimento de água nos EUA teve como alvo os controladores lógicos programáveis (PLC) da Unitronics, utilizando credenciais predefinidas. Não se trata de explorações de vulnerabilidades «zero-day». Trata-se de falhas de configuração na interface entre os sistemas de tecnologia operacional (OT) e a Internet.
A fronteira entre as redes de TI e OT é o ponto de entrada dos ataques
Incidente após incidente, o ponto de entrada do ataque ocorre na fronteira entre as redes de TI e OT. As estações de trabalho de engenharia, que se encontram em ambos os ambientes e ligam as redes empresariais aos controladores lógicos programáveis (PLC) da linha de produção, são o ponto de entrada mais comum. O AZURITE ataca-as diretamente. O Volt Typhoon passou por elas. O Triton exigiu acesso físico a uma delas. O FrostyGoop foi introduzido através da rede de engenharia. Proteger a estação de trabalho significa proteger o ficheiro que nela é recebido.
A previsão pré-execução e a análise comportamental impedem os ataques OT antes que causem impacto
Detecção comportamental de ameaças de dia zero com MetaDefender
Os padrões observados nos ataques a sistemas ICS e OT apontam para uma realidade consistente: ameaças desconhecidas e evasivas penetram nos ambientes sob a forma de ficheiros, ultrapassam as barreiras de confiança e são executadas antes que as defesas tradicionais consigam reagir. Para travar estes ataques, é necessária tanto uma análise comportamental aprofundada como a capacidade de antecipar intenções maliciosas antes da execução.
MetaDefender é a solução unificada de deteção de ameaças de dia zero OPSWAT, concebida para identificar ameaças desconhecidas e evasivas ocultas em ficheiros. Combina sandboxing adaptativo, inteligência de ameaças, pontuação de ameaças e pesquisa de semelhanças com aprendizagem automática num único fluxo de deteção que fornece um veredicto fiável para cada ficheiro.
Ao executar ficheiros num ambiente emulado, o Aether revela comportamentos ocultos, tais como a lógica do ransomware, a injeção de código, técnicas anti-análise e cargas úteis em várias fases que as ferramentas estáticas não conseguem detetar. Esteja correlaciona estas descobertas com milhares de milhões de indicadores de ameaças para identificar riscos, descobrir variantes e associar a atividade a técnicas conhecidas dos adversários.
Esta abordagem permite às organizações detetar ameaças de dia zero em ficheiros executáveis, scripts, arquivos e ficheiros de correção que não podem ser limpos ou alterados. Além disso, cumpre os requisitos de conformidade em setores regulamentados onde a análise dinâmica é obrigatória e a integridade dos ficheiros deve ser preservada.
Previsão de ameaças antes da execução com a IA preditiva da Alin
Em complemento a isto, a Predictive Alin AI introduz uma camada de deteção pré-execução que opera no perímetro. Em vez de esperar que os ficheiros sejam executados, analisa indicadores estruturais e comportamentais para prever intenções maliciosas em milésimos de segundo. Isto permite que as organizações bloqueiem ficheiros de alto risco antes de estes entrarem no ambiente ou chegarem a sistemas críticos.
A IA preditiva Alin é continuamente retreinada utilizando ameaças de dia zero identificadas pelo MetaDefender . Cada ameaça confirmada reforça a capacidade do modelo para detetar ataques semelhantes numa fase mais precoce da cadeia. Isto cria um ciclo de retroalimentação entre a análise aprofundada e a deteção preditiva, em que o Aether descobre ameaças desconhecidas e a Alin utiliza essa informação para impedir a próxima geração de ataques antes da sua execução.
Quando implementados em conjunto, MetaDefender e o Predictive Alin AI proporcionam profundidade e rapidez. O Predictive Alin AI emite veredictos instantâneos antes da execução no perímetro, enquanto MetaDefender realiza uma análise comportamental abrangente dos ficheiros que requerem uma inspeção mais aprofundada. Esta abordagem em camadas reduz os falsos positivos, acelera a resposta do SOC e garante que tanto as ameaças conhecidas como as desconhecidas sejam identificadas antes de poderem afetar os ambientes OT.
Para impedir ataques OT baseados em ficheiros, é necessária uma deteção em camadas de vulnerabilidades zero-day
Este panorama de ameaças aos sistemas de controlo industrial (ICS) e às tecnologias operacionais (OT) já não se caracteriza por incidentes isolados. É marcado por padrões recorrentes. Os programas de eliminação de dados estão a tornar-se mais direcionados, os adversários agem com maior rapidez e os ataques centram-se sistematicamente nos limites de confiança. Em todos os casos, há uma constante: um ficheiro entra no ambiente e possibilita o ataque.
As ferramentas de inspeção estática e baseadas em assinaturas não conseguem identificar o que estes ataques têm em comum: um ficheiro que atravessa um limite de confiança com uma intenção que ainda não foi catalogada. Para os impedir, é necessário inspecionar esse ficheiro antes da sua execução e prever o que ele irá fazer assim que for executado.
É para isso que MetaDefender e a IA Predictive Alin foram concebidos. A IA Predictive Alin emite um veredicto no perímetro em milésimos de segundo; MetaDefender identifica o que justifica uma inspeção mais aprofundada e introduz cada zero-day confirmado no modelo preditivo. O resultado é uma defesa em camadas que se torna mais precisa a cada ficheiro que analisa, exatamente na fronteira onde os ataques a ICS e OT têm início.
Veja como MetaDefender e a IA preditiva da Alin bloqueiam a via de ataque baseada em ficheiros no seu ambiente OT.
