manufacturing - RunkIntel

# Setor Industrial e Manufatura O setor de manufatura é o **mais atacado globalmente por ransomware**, respondendo por **72% de todos os incidentes industriais** rastreados pelo Dragos em Q3/2025 (**532 dos 742 incidentes industriais** globais naquele trimestre). A convergência IT/OT, sistemas SCADA legados e pressão por disponibilidade 24/7 tornam o setor especialmente vulnerável. No Brasil, a manufatura concentra os maiores volumes de incidentes industriais na América do Sul - **22 dos 54 incidentes sul-americanos** no Q1/2025 ocorreram no Brasil, com manufatura de alimentos/bebidas como principal subsegmento afetado (Dragos Q1 2025). ## Panorama de Ameaças O ransomware domina com margem expressiva. Em Q3/2025, grupos como [[qilin|Qilin]], [[g1024-akira|Akira]], RansomHub e LockBit 5.0 foram os mais ativos contra manufatura, com impacto direto em linhas de produção ao atingir servidores ERP, sistemas MES (Manufacturing Execution Systems) e interfaces HMI. A pressão de downtime é o principal mecanismo de extorsão: cada hora de linha parada representa perda mensurável de produção e contratos. Atores estatais operam em paralelo com objetivos distintos: o [[g1017-volt-typhoon|Volt Typhoon]] mantém pré-posicionamento em redes OT de manufatura crítica (defesa, semicondutores, aeroespacial), enquanto grupos como o [[g0096-apt41|APT41]] conduzem espionagem de propriedade intelectual - plantas industriais, fórmulas químicas e designs de equipamentos. A **Indústria 4.0** - integração de sistemas SCADA com cloud, sensores IIoT e redes 5G privativas em chão de fábrica - ampliou dramaticamente a superfície de ataque. Sistemas antes isolados (air-gapped) agora têm conectividade, e a convergência IT/OT sem segmentação adequada permite que ransomware se propague de redes corporativas para sistemas de controle industrial em minutos. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB MFG["Setor Industrial (Brasil)"] --> RANSOM["Qilin / Akira RansomHub / LockBit"] MFG --> VT["Volt Typhoon Pre-posicionamento OT"] MFG --> APT["APT41 Espionagem Industrial"] RANSOM -->|"ERP/MES sem MFA credenciais IABs"| T1078["T1078: Valid Accounts"] VT -->|"LOLBins em redes OT FRP tunneling"| T1218["T1218: LOLBins"] APT -->|"Spear-phishing a engenheiros e PIs"| T1566["T1566: Phishing"] T1078 --> ENC["Criptografia ERP/MES e sistemas de producao"] T1218 --> PRE["Pre-posicionamento em redes ICS"] T1566 --> ESP["Roubo de PI / plantas industriais"] ENC --> EXT["Extorsao / Downtime de linha"] ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Ransomware em linhas de produção (IT/OT) | 🟥 Crítico | [[qilin\|Qilin]], [[g1024-akira\|Akira]], RansomHub, LockBit 5.0 | | Pré-posicionamento estatal em OT industrial | 🟥 Crítico | [[g1017-volt-typhoon\|Volt Typhoon]], grupos MSS chineses | | Espionagem de propriedade intelectual industrial | 🟧 Alto | [[g0096-apt41\|APT41]], VIXEN PANDA, grupos MSS | | Comprometimento de sistemas SCADA/MES | 🟧 Alto | Ransomware com capacidade OT, grupos oportunistas | | Ataques a fornecedores de automação industrial | 🟨 Médio | Supply chain de software OT, IABs | ## TTPs Frequentes - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia de servidores ERP (SAP, Totvs), sistemas MES e bancos de dados de produção; downtime de linha de produção como mecanismo de pressão para pagamento de resgaté - [[t1078-valid-accounts|T1078 - Valid Accounts]] - credenciais de operadores de sistemas SCADA, engenheiros de processo e administradores de ERP compradas de IABs; vetor mais comum de acesso inicial - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - LOLBins em redes OT; Volt Typhoon opera silenciosamente em redes industriais por meses usando ferramentas legítimas do sistema - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - interfaces web de sistemas MES, portais de fornecedores e painéis de monitoramento industrial expostos à internet; entrada inicial antes de pivoting para OT - [[t1021-remote-services|T1021 - Remote Services]] - movimentação lateral entre redes IT e OT via protocolos industriais (RDP em HMIs, VNC em estações de engenharia, protocolos OPC-UA mal configurados) ## Incidentes Recentes (2024-2025) - **Manufatura Brasil - Q1/2025** - 22 dos 54 incidentes industriais sul-americanos ocorreram no Brasil; manufatura de alimentos/bebidas e sistemas de transporte como subsegmentos mais afetados; grupos RansomHub e Akira dominantes (Dragos Q1 2025) - **Manufatura global - Q3/2025** - 532 incidentes industriais em manufatura (72% do total); crescimento de ransomware OT-aware capaz de atingir sistemas MES e SCADA além de redes IT (Dragos Q3 2025) - **Setor automotivo LATAM (2025)** - múltiplos incidentes de ransomware em montadoras e fornecedores Tier 1; impacto em linhas de montagem no Brasil e México; downtime médio de 5-7 dias (Intel 471 2026) - **Indústria química - supply chain ataque (2025)** - APT comprometeu fornecedor de software de automação para acessar múltiplas plantas industriais simultaneamente; ataque de supply chain ao software de gestão de processos (Dragos 2026) - **Siderurgia/papel e celulose Brasil (2024-2025)** - grupos de ransomware comprometeram empresas do setor via credenciais de fornecedores terceirizados; padrão de acesso via VPNs de manutenção (CTIR Gov) ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Manufatura como % de incidentes industriais globais | 72% (532/742) em Q3/2025 | Dragos Q3 2025 | | Incidentes industriais Sul-América Q1/2025 | 54 (Brasil: 22, maior foco) | Dragos Q1 2025 | | Organizações industriais impactadas por ransomware | 3.300+ (2025) | Dragos 2026 Annual | | Grupos de ameaça OT ativos globalmente | 26 grupos | Dragos 2026 Annual | | Redes OT com visibilidade adequada | apenas 30% | Dragos 2026 Annual | | Manufatura como setor mais atacado por ransomware | 1o lugar global | Dragos/Comparitech 2025 | | Crescimento de ransomware industrial | +63,6% QoQ (Q3 vs Q2/2025) | Cyfirma Q3 2025 | ## Contexto Brasil/LATAM O Brasil possui o maior parque industrial da América Latina. Setores estratégicos como automotivo, siderurgia, petroquímica, papel e celulose, alimentos/bebidas e defesa são alvos de alto valor para grupos criminosos e atores estatais. A **Indústria 4.0** no Brasil ainda está em fase de adoção - a integração de sistemas SCADA com cloud, redes 5G privativas e IIoT é crescente, mas o investimento em segurança OT não acompanha o ritmo de digitalização. A **convergência IT/OT sem segmentação adequada** é o risco mais crítico: sistemas de ERP corporativos e sistemas MES de chão de fábrica frequentemente compartilham a mesma rede, permitindo que ransomware se propague de um e-mail malicioso até uma linha de produção em horas. Apenas **30% das redes OT** possuem visibilidade adequada de ativos (Dragos 2026). Terceiros e fornecedores são vetores críticos: integradores de automação, empresas de manutenção de PLCs e fornecedores de software ERP têm acesso privilegiado a redes OT de múltiplos clientes simultaneamente - comprometer um fornecedor pode dar acesso a dezenas de plantas industriais. ## Regulação Aplicavel - [[lgpd|LGPD]] - dados de funcionários, fornecedores e clientes industriais - **IEC 62443** - padrão internacional para segurança de sistemas de automação e controle industrial; referência para redes OT e segmentação IT/OT - **Normas ABNT** - ISO/IEC 27001 adaptado para ambiente industrial; NBR IEC 62443 em processo de adoção - **NR 12** - Norma Regulamentadora de Segurança em Máquinas; interface com segurança de sistemas de controle ## Referências - Dragos: Industrial Ransomware Analysis Q1, Q3 2025 e 2026 Annual Report - Intel 471: Latin América Cyber Threat Landscape 2025 (fev/2026) - Cyfirma: Q3 2025 Industrial Sector Threat Intelligence (out/2025) - CrowdStrike: 2025 LATAM Threat Landscape Report (mar/2026) - CTIR Gov: Relatório de Incidentes Cibernéticos Industriais Brasil 2025