Sala de imprensa
Ciberataques a infraestruturas críticas em alta: setor da energia em alerta
O setor da energia tem sido alvo de ataques de ciberespionagem, sabotagem, malware destrutivo em sistemas OT (Operational Technology), hacktivismo sofisticado e campanhas de desinformação destinadas a afetar a confiança do público.
Lisboa, 28 de maio 2025 – A Cipher, divisão de cibersegurança do Grupo Prosegur, alerta para o agravamento das ameaças dirigidas às infraestruturas críticas, com especial incidência no setor da energia. A partir da análise conduzida pela sua Unidade x63, especializada em ameaças persistentes e campanhas de grande escala, a empresa observa um aumento consistente da atividade maliciosa também em Portugal, à semelhança do que se regista noutros países europeus.
Em Espanha, o setor da energia representou 9% dos ciberataques a operadores críticos em 2024, em Portugal as empresas desta área têm igualmente enfrentado riscos cada vez maiores, com tentativas de acesso a sistemas industriais, campanhas de desinformação e ataques direcionados a redes operacionais (OT). Estes incidentes não se limitam a perdas económicas ou danos reputacionais, mas colocam igualmente em causa a segurança física dos cidadãos.
Um mês depois do apagão que deixou várias zonas de ambos os países sem eletricidade durante várias horas, a urgência de reforçar a ciberesiliência do setor volta a estar na ordem do dia. Embora as causas desse incidente não tenham sido oficialmente ligadas a um ataque cibernético, o contexto internacional e o historial recente obrigam a encarar este tipo de risco com redobrada atenção.
Luís Martins, Diretor-Geral da Cipher Portugal, afirmou que, “para além das implicações económicas e reputacionais, os ciberataques no setor da energia também representam riscos potenciais para a segurança física. Um incidente que afete sistemas de controlo industrial - como monitores de pressão em refinarias, sistemas de segurança em centrais hidroelétricas ou controlos automatizados em infraestruturas críticas - pode resultar em consequências graves, incluindo, por exemplo, explosões perigosas.”
Radiografia das ameaças: os principais tipos de ciberataques ao setor energético
Os especialistas da Unidade x63 da Cipher elaboraram uma análise das principais ameaças que afetam as infraestruturas críticas, com o objetivo de fornecer uma visão atualizada e estruturada do setor, através de uma monitorização exaustiva das campanhas ativas, atores relevantes e vulnerabilidades emergentes.
Ciberespionagem: A ciberespionagem no setor da energia visa obter secretamente informações críticas, como planos de instalações, tecnologias exclusivas ou contratos estratégicos. Estes ataques, geralmente conduzidos por agentes estatais ou grupos APT, têm como objetivo a obtenção de vantagens geopolíticas ou económicas, ou a preparação de futuras sabotagens. O período de 2024-2025 registou um aumento significativo destes ataques, com especial incidência em ambientes OT/SCADA. Os intervenientes mais relevantes incluem o Volt Typhoon (China), o Berserk Bear/Dragonfly (Rússia), o GRAPHITE (Europa de Leste), o Lazarus Group (Coreia do Norte) e o APT33/Elfin (Irão), todos eles com um historial de operações que visam infraestruturas críticas.
Sabotagem: A cibersabotagem no setor da energia visa perturbar ou danificar o funcionamento de infraestruturas críticas através de ataques a sistemas industriais como os SCADA, ICS ou PLC. Ao contrário da espionagem, estes ataques têm efeitos destrutivos e exigem um elevado nível de sofisticação, típico dos atores estatais. Em 2025, a ameaça é tangível, com precedentes como os apagões na Ucrânia (Sandworm), a tentativa de implantação do Industroyer2, o malware FrostyGoop contra o aquecimento urbano, o ataque Triton a uma central petroquímica e a deteção do perigoso conjunto PIPEDREAM, concebido para comprometer infraestruturas energéticas de grande escala.
Vulnerabilidades críticas em sistemas OT (ICS/SCADA): Durante 2024 e 2025, foram descobertas várias vulnerabilidades críticas em componentes-chave dos sistemas de controlo industrial (ICS), afetando diretamente a segurança operacional das infraestruturas energéticas. Estas falhas, presentes tanto no software como no hardware, podem ser exploradas para aceder a redes OT, interromper processos ou comprometer a integridade de sistemas críticos. A digitalização do setor e a convergência IT-OT ampliaram a superfície de ataque, exigindo uma gestão proactiva dos patches. Entre os casos mais relevantes estão as 46 vulnerabilidades “SolarWonder” nos investidores solares, a CVE-2024-6407 nos dispositivos Wiser Home da Schneider Electric e várias falhas comunicadas pela Siemens na sua plataforma de telecontrolo SCADA.
Malware destrutivo: A utilização de malware puramente destrutivo tornou-se uma ferramenta recorrente nos conflitos geopolíticos, afetando gravemente o setor energético. Este tipo de malware procura apagar dados, desativar sistemas ou sabotar operações críticas, com impactos que vão desde a paralisação de empresas à perda de controlo sobre infraestruturas. Casos emblemáticos incluem o Shamoon, que em 2012 apagou 35 000 computadores da Saudi Aramco; o NotPetya, um wiper disfarçado de ransomware que causou estragos a nível mundial em 2017; e o AcidRain, utilizado em 2022 para desativar remotamente milhares de turbinas eólicas na Europa. O KillDisk e o Industroyer também são notáveis nos ataques à rede elétrica ucraniana, bem como na utilização de malware como o Fuxnet por grupos de hacktivistas para danificar dispositivos industriais.
Hacktivismo: O hacktivismo no setor da energia continua a aumentar em 2025, impulsionado por motivações políticas, sociais e ideológicas. Grupos como o Anonymous realizaram operações de grande impacto, como o ataque à filial alemã da Rosneft em 2022, extraindo grandes volumes de informações sensíveis. Paralelamente, coletivos pró-russos como o NoName057(16) realizaram campanhas de negação de serviço (DDoS) contra infraestruturas críticas ocidentais. Em 2024, surgiu o grupo “Mr. Hamza” com discursos hostis contra organizações internacionais. O GhostSec também demonstrou a capacidade de se infiltrar nos sistemas SCADA iranianos, o que reflete a crescente sofisticação dos ataques de hacktivistas a redes industriais e de OT.
Campanhas de desinformação e ataques à confiança pública: Em 2025, as campanhas de desinformação dirigidas ao setor da energia intensificam-se, procurando corroer a confiança do público nos governos e nas empresas. Destacam-se as operações russas na Europa de Leste, destinadas a desacreditar os esforços de diversificação energética na sequência da redução da dependência do gás russo. Paralelamente, em Espanha e noutros países europeus, circulam rumores infundados sobre apagões maciços, gerando alarme social. Além disso, os ataques à reputação dos fornecedores de energia através da divulgação de documentos verdadeiros ou falsos prejudicam a credibilidade do setor.
Instruções de origem estatal
A Unidade x63 da Cipher identificou que a maioria das ameaças ao setor da energia provém de agentes estatais ou paraestatais, visando a espionagem, a sabotagem e o controlo estratégico. A Rússia continua a ser o principal agressor, com grupos veteranos como o Sandworm e o APT28 a expandirem os seus ataques para a Europa, bem como novos subgrupos especializados em infraestruturas críticas. O FSB também mantém intrusões persistentes nas redes de energia ocidentais, frequentemente detetadas após longos períodos de ocultação.
A China, o Irão e a Coreia do Norte também intensificaram a sua atividade no setor. Destacam-se o grupo chinês Volt Typhoon, ativo desde 2023, e os APT34 e CyberAvengers do Irão, com campanhas globais contra infraestruturas críticas. A Coreia do Norte opera o Lazarus e o Kimsuky, centrados na energia e na informação nuclear. Além disso, há alertas sobre atores mercenários que desenvolvem malware à medida dos governos, o que complica a atribuição e aumenta os riscos na cadeia de abastecimento de energia.
Recomendações da x63 Unit
Em 2025, o setor da energia continua a ser um dos principais alvos da ameaça cibernética global, sendo o ransomware um vetor proeminente, mas não exclusivo. Intrusões governamentais, campanhas de desinformação e ataques a sistemas de OT sublinham a complexidade do cenário atual. A Unidade x63 da Cipher recomenda a adoção de uma estratégia abrangente que combine deteção precoce, higiene de segurança, segmentação entre ambientes de IT e OT e cooperação constante com as autoridades competentes. A resiliência digital deve ser consolidada como um pilar tão crítico quanto a infraestrutura física, garantindo assim a continuidade de um serviço essencial que não pode sofrer interrupções.