# Setor de Energia O setor energético - geração, transmissão e distribuição de energia elétrica, petróleo e gás - é infraestrutura crítica nacional. Em 2025, o setor de **energia, recursos e agricultura** foi o segundo mais visado por ransomware e o segundo mais afetado por initial access brokers na LATAM (Intel 471, 2026). Globalmente, ataques APT ao setor cresceram **43%** no Q1/2026 vs período anterior (Cyfirma, 2026). ## Panorama de Ameaças > [!info] Atualização - Março 2026 > Atores russos (**Electrum/Dragonfly**) mapeiam control loops em infraestrutura energética - ataque com wiper malware em ~30 plantas de energia renovável na Polônia (dez 2025). **Voltzite** rouba dados GIS/operacionais do setor de energia e compromete gateways Sierra Wireless em oil & gas nas Américas. LATAM enfrenta 35% mais ataques que média global (2.640/semana). Legacy OT cria gaps críticos de visibilidade. O cenário de 2025-2026 apresenta convergência de ameaças: atores estatais posicionam-se silenciosamente para disrupção futura enquanto grupos de ransomware exploram a convergência IT/OT para extorsão. Em Q3/2025, o setor registrou **72 vitimas confirmadas de ransomware** globalmente (Cyfirma), crescimento de 63,6% em relação ao trimestre anterior. O segmento de petróleo e gás lidera como o mais afetado, seguido de utilities elétricas. Sul-América registrou **38 incidentes industriais** em Q3/2025, com Brasil (9 incidentes) e México (8) liderando a região (Dragos Q3 2025). Em Q1/2025, o Brasil registrou 22 dos 54 incidentes sul-americanos, com foco em manufatura de alimentos/bebidas e sistemas de transporte. A empresa nuclear estatal brasileira NUCLEP (Nuclebrás Equipamentos Pesados S.A.) foi mencionada em 2025 como alvo de um spin-off do Babuk Ransomware, sinalizando que atores criminosos tentam capitalizar sobre o setor nuclear brasileiro. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB ENRG["Setor de Energia (Brasil)"] --> VT["Volt Typhoon<br/>Pré-posicionamento"] ENRG --> SAND["Sandworm<br/>ICS Destrutivo"] ENRG --> CAV["CyberAv3ngers<br/>IRGC"] ENRG --> RANSOM["Ransomware<br/>Qilin / Akira"] VT -->|"LOLBins em redes OT<br/>FRP tunneling"| T1218["T1218: LOLBins"] SAND -->|"Industroyer2<br/>FrostyGoop"| T0866["T0866: ICS Remote Services"] CAV -->|"PLCs Unitronics<br/>HMIs expostos"| T1190["T1190: Exploit App"] RANSOM -->|"VPN / credenciais<br/>comprometidas"| T1078["T1078: Valid Accounts"] T1218 --> PRE["Pre-posicionamento<br/>para Disrupcao"] T0866 --> SAB["Sabotagem /<br/>Apagao"] T1190 --> SAB T1078 --> EXT["Extorsao / Downtime<br/>operacional"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Pré-posicionamento estatal em redes OT | 🟥 Crítico | [[g1017-volt-typhoon\|Volt Typhoon]], Sandworm APT44 | | Sabotagem ICS / malware destrutivo | 🟧 Alto | [[g0034-sandworm\|Sandworm]] (Industroyer2, FrostyGoop) | | Ransomware em IT/OT convergido | 🟧 Alto | [[qilin\|Qilin]], [[g1024-akira\|Akira]], RansomHub | | Ataques a PLCs e HMIs expostos | 🟧 Alto | [[cyberav3ngers\|CyberAv3ngers]] (IRGC) | | Espionagem industrial (pré-sal, renovável) | 🟨 Médio | [[g0007-apt28\|APT28]], Berserk Bear/Dragonfly | ## TTPs Frequentes - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - LOLBins em redes OT; assinatura do Volt Typhoon (FRP tooling, PowerShell LotL) - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - sistemas SCADA e ICS expostos; PLCs Unitronics sem autenticação - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais de operadores comprometidas via phishing ou IABs - [[t0866-exploitation-of-remote-services-ics|T0866 - Exploitation of Remote Services ICS]] - comprometimento direto de sistemas de controle industrial - [[t1542-001-system-firmware|T1542.001 - System Firmware]] - comprometimento de firmware em equipamentos de subestações ## Incidentes Recentes (2024-2025) - **RECOPE Costa Rica - nov/2025** - empresa estatal de petróleo forçada a operar completamente de forma manual após ransomware desabilitar sistemas de pagamento e venda de combustíveis (Dragos Q4/2024) - **Infraestrutura eólica/solar Polônia - dez/2025** - ataques coordenados com wiper malware e intrusão em redes OT de 30+ instalações; sem corte de energia mas com disrupção operacional (Cert Polska) - **NUCLEP Brasil (2025)** - empresa nuclear estatal listada como alvo de spin-off do Babuk Ransomware (Resecurity) - **Cyberataques a energia da Colômbia (2023)** - ataque via IFX Networks impactou 762 empresas, incluindo entidades do setor energético; marco regional para risco de supply chain ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Crescimento de APTs no setor energia Q1/2026 | +43% (6 de 14 campanhas) | Cyfirma Q1 2026 | | Vitimas de ransomware no setor energia (90 dias) | 72 confirmadas (+63,6% QoQ) | Cyfirma Q1 2026 | | Incidentes industriais South América Q3/2025 | 38 (Brasil: 9, México: 8) | Dragos Q3 2025 | | Incidentes industriais Sul-América Q1/2025 | 54 (Brasil: 22 maior foco) | Dragos Q1 2025 | | Aumento de ransomware em energia/utilities 2024 | +80% vs 2023 | TrustWave ján/2025 | | Aumento de ataques contra energia - Kaspersky | +41% LATAM | Kaspersky 2023/base | | Redes OT com visibilidade adequada | apenas 30% | Dragos 2026 Annual | ## Contexto Brasil/LATAM O Brasil opera infraestrutura crítica com relevância continental: o Sistema Interligado Nacional (SIN) abastece mais de 200 milhões de pessoas, e hidrelétricas como Itaipu e Belo Monte têm impacto regional. A **convergência IT/OT** - digitalização de sistemas SCADA, monitoramento remoto de subestações, integração cloud com PLCs - amplia a superfície de ataque sem equivalente investimento em segurança OT. O contexto é parte da ameaça mais ampla à [[critical-infrastructure|infraestrutura crítica brasileira]]. O [[g1017-volt-typhoon|Volt Typhoon]] documentou reconhecimento de redes OT em utilities sul-americanas. O [[g0034-sandworm|Sandworm]] - com histórico de apagões na Ucrânia usando Industroyer e Industroyer2 - representa o template de ataque mais temido pelo setor elétrico global. Vulnerabilidades críticas em equipamentos de rede frequentemente utilizados no setor, como [[cve-2018-13379|CVE-2018-13379]] (Fortinet) e CVEs Cisco afetando roteadores industriais, são usadas como vetores de entrada por esses grupos. Somente **7 dos 32 países** da [[latam|LATAM]] possuem planos para proteção de infraestrutura crítica. A dependência de fornecedores estrangeiros para equipamentos SCADA (Siemens, ABB, Schneider Electric) cria riscos de supply chain que exigem inspeção profunda de componentes. Terceiros representam **45% das intrusões** no setor de energia globalmente (SecurityScorecard/KPMG, 2024). O cumprimento da [[lgpd|LGPD]] no setor energético abrange dados de clientes residenciais e industriais das distribuidoras. ## Regulação Aplicavel - **ANEEL** - Agência Nacional de Energia Elétrica; regulação de segurança para distribuidoras - **ANP** - Agência Nacional do Petróleo; requisitos de segurança para upstream/downstream - **Decreto 11.200/2022** - Plano Nacional de Segurança das Infraestruturas Críticas - **NERC CIP** - padrão norte-americano de referência amplamente usado por utilities brasileiras - [[lgpd|LGPD]] - dados de clientes e funcionários ## Referências - [ANEEL](https://www.aneel.gov.br/) - Dragos: Industrial Ransomware Analysis Q1, Q2, Q3 2025 - Cyfirma: Q1 2026 Energy and Utilities Industry Report (fev/2026) - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - Cipher/Prosegur: Critical Infrastructure Cyberattacks Spain 2024 - Global Perspective (mai/2025) - TrustWave: Energy and Utilities Sector Threat Report (ján/2025)