# Infraestrutura Crítica Infraestrutura crítica - energia, água, telecomúnicações, transportes e sistemas industriais - representa o alvo de maior impacto estratégico para atores estatais adversários. Em 2025, o Brasil registrou que **41% dos ataques a infraestrutura crítica foram bem-sucedidos** (CS4CA, 2024), e apenas **7 dos 32 países** da América Latina possuem planos formais de proteção de infraestrutura crítica nacional. O Dragos 2026 Annual Report identificou **26 grupos de ameaça OT ativos**, com impacto em **3.300 organizações industriais** globalmente. ## Panorama de Ameaças > [!info] Atualização - Março 2026 > LATAM registra 35% mais ataques que média global. Ransomware sobe 78% em 2025 (250→450 incidentes só no Brasil). Grupo hacktivista **Bauxite** compromete 400+ PLCs Unitronics e firewalls para manipulação direta de OT. Setores de energia e telecom são alvos tanto de espionagem estatal (China, Rússia) quanto de access brokers financeiramente motivados. O cenário de 2025-2026 é definido pela convergência de três ameaças simultâneas: pré-posicionamento silencioso de APTs estatais para sabotagem futura, ransomware explorando convergência IT/OT, e hacktivismo geopolítico contra sistemas de controle. O [[g1017-volt-typhoon|Volt Typhoon]] (MSS chinês) mantém presença persistente em redes OT e documentou reconhecimento de infraestrutura sul-americana. O [[g0034-sandworm|Sandworm]] (GRU russo, também conhecido como APT44) desenvolveu e implantou o Industroyer2 e o FrostyGoop específicamente para destruição de infraestrutura industrial. O [[cyberav3ngers|CyberAv3ngers]] (IRGC iraniano) comprometeu PLCs Unitronics em estações de água nos EUA, com TTPs replicáveis contra infraestrutura similar na LATAM. Apenas **30% das redes OT** possuem visibilidade adequada de ativos e tráfego (Dragos 2026), e **88% das organizações** industriais relatam dificuldades em detectar ameaças em ambientes OT. A digitalização acelerada - monitoramento remoto de subestações, PLCs conectados, integração cloud com SCADA - criou pontos de entrada que antes não existiam. No Brasil, a NUCLEP (Nuclebrás Equipamentos Pesados) foi listada como alvo de spin-off do Babuk Ransomware em 2025. O Sistema Interligado Nacional (SIN) e a Petrobras representam alvos de alto valor com impacto continental potencial. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB IC["Infraestrutura Critica (Brasil)"] --> VT["Volt Typhoon<br/>MSS - Pre-posicionamento"] IC --> SAND["Sandworm APT44<br/>GRU - Sabotagem ICS"] IC --> CAV["CyberAv3ngers<br/>IRGC - HMIs e PLCs"] IC --> RANSOM["Ransomware<br/>Akira / Qilin / RansomHub"] VT -->|"LOLBins em redes OT<br/>FRP tunneling"| T1218["T1218: LOLBins"] SAND -->|"Industroyer2<br/>FrostyGoop em heating"| T0866["T0866: ICS Remote Services"] CAV -->|"PLCs Unitronics<br/>sem autenticação"| T1190["T1190: Exploit App"] RANSOM -->|"VPN sem MFA<br/>credenciais IABs"| T1078["T1078: Valid Accounts"] T1218 --> PRE["Pre-posicionamento<br/>para Disrupcao"] T0866 --> SAB["Sabotagem /<br/>Blackout / Disrupcao"] T1190 --> SAB T1078 --> EXT["Extorsao /<br/>Downtime Industrial"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Pré-posicionamento estatal em redes OT | 🟥 Crítico | [[g1017-volt-typhoon\|Volt Typhoon]], Sandworm APT44 | | Malware destrutivo ICS (Industroyer2, FrostyGoop) | 🟥 Crítico | [[g0034-sandworm\|Sandworm]] (GRU), grupos russos alinhados | | Ataques a PLCs e HMIs expostos | 🟧 Alto | [[cyberav3ngers\|CyberAv3ngers]] (IRGC), hacktivistas | | Ransomware IT/OT convergido | 🟧 Alto | [[g1024-akira\|Akira]], [[qilin\|Qilin]], RansomHub | | DDoS geopolítico em infraestrutura | 🟧 Alto | NoName057(16), KillNet e afiliados | | Supply chain de firmware e hardware OT | 🟨 Médio | APTs chineses, grupos patrocinados por estado | ## TTPs Frequentes - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - LOLBins em redes OT; Volt Typhoon usa FRP tooling e PowerShell living-off-the-land para evasão sem malware customizado; presença documentada por meses antes de qualquer ação - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - PLCs Unitronics sem autenticação, HMIs expostos, sistemas SCADA acessíveis via internet; CyberAv3ngers explorou sistemas de tratamento de água em múltiplos países em 2023-2024 - [[t0866-exploitation-of-remote-services-ics|T0866 - Exploitation of Remote Services ICS]] - Sandworm implantou Industroyer2 contra grid elétrico ucraniano e FrostyGoop contra sistemas de aquecimento urbano em Lviv (ján/2024) - [[t1078-valid-accounts|T1078 - Valid Accounts]] - comprometimento de credenciais de operadores via phishing ou IABs; vetor principal de ransomware em ambientes IT/OT convergidos - [[t1542-001-system-firmware|T1542.001 - System Firmware]] - comprometimento de firmware em equipamentos de subestações e sistemas de controle embarcados; persistência difícil de detectar sem ferramentas OT-específicas ## Incidentes Recentes (2024-2025) - **FrostyGoop - Lviv, Ucrânia (ján/2024)** - Sandworm usou malware ICS para desativar sistema de aquecimento urbano via protocolo MODBUS; 600 edifícios sem calor no inverno; primeiro uso documentado de malware MODBUS contra infraestrutura civil (Dragos) - **CyberAv3ngers - Estações de água EUA (2023-2024)** - IRGC comprometeu PLCs Unitronics em múltiplas utilities de água americanas; CISA, FBI e EPA emitiram advisory conjunto; grupo associado à Guarda Revolucionária Islâmica - **NUCLEP Brasil (2025)** - empresa nuclear estatal brasileira (Nuclebrás Equipamentos Pesados) listada como alvo de spin-off do Babuk Ransomware; sinaliza foco em infraestrutura nuclear nacional (Resecurity) - **Infraestrutura eólica/solar Polônia (dez/2025)** - ataques coordenados com wiper malware contra 30+ instalações de energia renovável; disrupção operacional sem corte de geração elétrica (CERT Polska) - **RECOPE Costa Rica (nov/2025)** - empresa estatal de petróleo forçada a operar completamente de forma manual após ransomware; impacto em abastecimento nacional de combustíveis por vários dias (Dragos Q4/2024) ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Grupos de ameaça OT ativos globalmente | 26 grupos | Dragos 2026 Annual Report | | Organizações industriais impactadas por ransomware | 3.300+ (2025) | Dragos 2026 Annual Report | | Redes OT com visibilidade adequada de ativos | apenas 30% | Dragos 2026 Annual Report | | Organizações com dificuldade de detecção OT | 88% | Dragos 2026 Annual Report | | Ataques bem-sucedidos a infraestrutura crítica - Brasil | 41% | CS4CA LATAM 2024 | | Países LATAM com planos formais de proteção CI | 7 de 32 (21%) | CS4CA LATAM 2024 | | Incidentes industriais Sul-América Q3/2025 | 38 (Brasil: 9) | Dragos Q3 2025 | | Crescimento de APTs no setor energia Q1/2026 | +43% (6 de 14 campanhas) | Cyfirma Q1 2026 | ## Contexto Brasil/LATAM O Brasil opera infraestrutura crítica de relevância continental: o Sistema Interligado Nacional (SIN) abastece mais de 200 milhões de pessoas; hidrelétricas como Itaipu e Belo Monte têm impacto regional; a Petrobras opera como empresa estratégica no pré-sal. A **convergência IT/OT** - monitoramento remoto de subestações via cloud, PLCs conectados, sistemas SCADA com interfaces web - ampliou dramaticamente a superfície de ataque sem equivalente evolução na maturidade de segurança OT. O setor de [[energy|energia]] é o mais exposto a ataques destrutivos, enquanto [[telecom|telecomúnicações]] e [[government|governo]] são alvos preferidos para espionagem. A **fragmentação regulatória** é um risco estrutural: ANEEL regula energia, [[anatel|ANATEL]] regula telecom, ANP regula petróleo/gás, ANTT regula transportes - cada agência com frameworks distintos de segurança OT e sem coordenação centralizada efetiva. O Decreto 11.200/2022 criou o Plano Nacional de Segurança das Infraestruturas Críticas, mas a implementação é desigual entre setores e incompleta em relação a ameaças OT modernas. A [[lgpd|LGPD]] e o [[nist-csf|NIST CSF]] são referências adotadas pelo setor privado para governança de segurança. Terceiros representam **45% das intrusões** em infraestrutura crítica globalmente (SecurityScorecard/KPMG, 2024). A dependência de fornecedores como [[_fortinet|Fortinet]], [[_cisco|Cisco]] e Siemens para equipamentos de rede e SCADA cria riscos de supply chain que exigem inspeção profunda de componentes e firmware - especialmente considerando vulnerabilidades como [[cve-2022-40684|CVE-2022-40684]] (Fortinet) exploradas por grupos APT. ## Regulação Aplicavel - **Decreto 11.200/2022** - Plano Nacional de Segurança das Infraestruturas Críticas do Brasil - **Decreto 9.637/2018** - Política Nacional de Segurança da Informação - **IEC 62443** - padrão internacional para segurança de sistemas de automação e controle industrial - **NERC CIP** - padrão norte-americano de referência adotado por utilities brasileiras - **ANEEL** - requisitos de segurança para distribuidoras e transmissoras de energia - [[lgpd|LGPD]] - dados operacionais e de funcionários em sistemas industriais ## Referências - Dragos: 2026 OT/ICS Cybersecurity Annual Report (ján/2026) - CS4CA: Latin América Critical Infrastructure Cybersecurity 2024 - CISA/FBI/EPA Advisory: CyberAv3ngers Targeting Water and Wastewater Systems (2024) - Dragos: FrostyGoop ICS Malware Analysis (ján/2024) - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - Cyfirma: Q1 2026 Energy and Utilities Industry Report (fev/2026)