Ciberataques contra infraestruturas elétricas registam aumento

A S21sec publicou o seu “Threat Landscape Report” que oferece uma visão geral das ameaças mais relevantes na primeira metade de 2022. Segundo o estudo, que visa analisar as principais vulnerabilidades e ciber-riscos em setores estratégicos a nível mundial, ao longo dos primeiros seis meses do ano o setor da energia foi vítima de numerosos incidentes causados por entidades com diferentes motivações. Destaca-se o aumento dos ciberataques destinados a destruir ou paralisar infraestruturas elétricas para causar os maiores danos possíveis.

A equipa de Intelligence da S21sec conclui que, entre os ataques mais significativos durante a primeira metade do ano, destacam-se os que ocorreram no mês de fevereiro. O setor da energia europeu sofreu uma série de ciberataques visando, entre outros, empresas alemãs, belgas e romenas. Para além destes, existiram outros incidentes destinados a atacar infraestruturas críticas, tais como o de ransomware que afetou um grande grupo italiano e que deixou inoperativos os seus sistemas de IT.

Durante o mês de fevereiro, a maioria dos ataques registados sobre este sector tiveram como alvo as empresas da cadeia de abastecimento, fornecedores e instalações ou sistemas de suporte, desencadeados por cibercriminosos com motivações, principalmente, económicas. Devido à magnitude das consequências, os ciberataques a sistemas de infraestruturas críticas tornaram-se um dos maiores perigos para a sociedade, causando mesmo a paralisação dos serviços públicos e situações de escassez de abastecimento.

“Devemos ter presente que as infraestruturas energéticas de um país são consideradas infraestruturas críticas e que um ataque contra elas pode representar riscos não só para a empresa atacada, mas também para o público”, refere Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.

Neste contexto, o estudo da S21sec concluiu que existiram pelo menos 43 ataques de ransomware contra empresas do setor da energia desde janeiro de 2022. Em Portugal, e de acordo com a S21sec, um dos ciberataques com maior impacto ocorreu no mês de maio numa empresa dos Açores e afetou os seus sistemas de informação, nomeadamente o sistema comercial durante vários dias.

Desde o início da guerra, após a invasão russa à Ucrânia, as ciberameaças que visam o setor energético e infraestruturas críticas têm vindo a aumentar e os atacantes expandiram os seus alvos a outros países europeus, especialmente aqueles que prestam apoio à Ucrânia. Assim, as entidades alinhadas com a Rússia ameaçaram conduzir operações no ciberespaço como retaliação por alegadas ofensivas cibernéticas contra o governo russo, bem como ataques direcionados contra países e organizações que se posicionaram do lado oposto.

“A grande maioria dos ataques observados durante o desenvolvimento da guerra híbrida consistiram em website defacement e ataques DDoS (despoletados por hacktivistas), fugas de bases de dados e informações confidenciais de agências governamentais e infraestruturas críticas e também pela utilização de malware específico (wipers) com o objetivo de destruir ou apagar dados de sistemas críticos deste setor”, afirma Hugo Nunes.

Na fase inicial do conflito entre a Rússia e a Ucrânia, foram registados três ciberataques a empresas europeias de produção de energia eólica por parte de grupos de ransomware que se declararam solidários com o governo russo, tais como o Conti e o Black Basta. Vale a pena notar que, embora o incentivo por detrás destes grupos seja geralmente económico, não se pode excluir que também tenham sido motivados politicamente, com o objetivo de perturbar o funcionamento das empresas de produção de energia na Europa.

Também no início do conflito, o ransomware Blackcat, ligado a grupos cibercriminosos russos, visou empresas envolvidas na produção e transporte de petróleo e gás. O ransomware-as-a-service Blackcat, que se tornou ativo em novembro de 2021, é distribuído maioritariamente através de email. Quando a vítima descarrega e abre o anexo do e-mail, o malware começa a ser executado na máquina e posteriormente são utilizadas diversas técnicas sofisticadas com o objetivo final de encriptar os ficheiros da organização.

“Uma das particularidades do Blackcat é a utilização da técnica de tripla extorsão na tentativa de adicionar ainda mais pressão sobre a necessidade para o pagamento do resgate por parte da vítima. Para além da encriptação dos dados dentro da organização, da exfiltração de informação e ameaça de publicação desta no seu blog na Deep Web, é adicionada também a ameaça da execução de ataques distribuídos de negação de serviço (DDoS) caso a vítima não pague o resgate pedido”, explica Hugo Nunes.