VOLTAR ÀS NOTÍCIAS
Última Hora

Grupo Russo Sandworm Ataca Rede Elétrica da Polônia com Malware DynoWiper

3 min de leituraFonte: BleepingComputer

Ataque cibernético atribuído ao grupo APT Sandworm, patrocinado pelo Estado russo, tentou implantar o malware DynoWiper na rede elétrica da Polônia em dezembro de 2025.

Grupo APT Russo Sandworm Tenta Ataque Destrutivo com Wiper no Setor Energético da Polônia

Um ciberataque direcionado à rede elétrica da Polônia no final de dezembro de 2025 foi atribuído ao Sandworm, um grupo de ameaça persistente avançada (APT) patrocinado pelo Estado russo. Os atacantes tentaram implantar o DynoWiper, um novo malware destrutivo projetado para apagar dados e interromper operações de infraestrutura crítica. O ataque foi, em última análise, malsucedido, embora a análise forense revele uma sofisticação técnica significativa.

Detalhes Técnicos do Ataque

Pesquisadores de segurança que investigaram o incidente confirmaram que o Sandworm, também conhecido como APT44 ou Voodoo Bear, utilizou o DynoWiper no ataque. O malware apresenta características típicas de cepas de wipers, incluindo:

  • Capacidades de corrupção de arquivos direcionadas a dados críticos do sistema e operacionais
  • Mecanismos de persistência para evadir detecção durante o movimento lateral
  • Técnicas de propagação em rede para maximizar o impacto em sistemas interconectados

Embora o vetor inicial de infecção exato ainda esteja sob investigação, táticas históricas do Sandworm sugerem phishing, comprometimento da cadeia de suprimentos ou exploração de vulnerabilidades não corrigidas (por exemplo, CVE-2023-23397 no Microsoft Outlook) como pontos de entrada prováveis. O ataque ocorreu em meio a tensões geopolíticas elevadas, alinhando-se ao padrão de operações cibernéticas da Rússia contra infraestruturas críticas alinhadas à OTAN.

Impacto e Atribuição

Embora o ataque não tenha causado interrupção operacional, suas implicações são graves:

  • Potencial para falhas em cascata: Uma implantação bem-sucedida do wiper poderia ter desencadeado apagões ou interrupções prolongadas ao corromper configurações de sistemas de controle industrial (ICS).
  • Escalada da guerra híbrida: O incidente reforça o uso contínuo de ciberataques pela Rússia como ferramenta de coerção geopolítica.
  • Erosão da confiança em infraestruturas críticas: O direcionamento repetido ao setor energético pode forçar atualizações defensivas dispendiosas em toda a Europa.

A atribuição ao Sandworm baseia-se em táticas, técnicas e procedimentos (TTPs) observados em ataques anteriores, incluindo os apagões na rede elétrica da Ucrânia em 2015/2016 e a campanha do wiper NotPetya em 2017. A Equipe de Resposta a Emergências Computacionais da Polônia (CERT.PL) e parceiros do setor privado estão colaborando em uma análise forense completa.

Mitigação e Recomendações

Equipes de segurança de provedores de energia e operadores de infraestrutura crítica devem:

  1. Isolar redes ICS de ambientes de TI corporativos usando segmentação rigorosa.
  2. Implantar soluções de detecção e resposta de endpoint (EDR) capazes de identificar comportamentos de malware wiper.
  3. Impor autenticação multifator (MFA) para todo acesso remoto a sistemas de tecnologia operacional (OT).
  4. Realizar exercícios de simulação para simular ataques de wiper e validar planos de resposta a incidentes.
  5. Monitorar indicadores de comprometimento (IOCs) associados ao DynoWiper, que serão divulgados pelo CERT.PL nos próximos dias.

O incidente serve como um lembrete contundente da ameaça persistente representada por atores patrocinados pelo Estado à infraestrutura crítica. As organizações são instadas a priorizar a resiliência contra malware destrutivo, especialmente em setores vitais para a segurança nacional.

Compartilhar

TwitterLinkedIn