A S21sec, um dos principais fornecedores de cibersegurança da Europa, publicou o seu Threat Landscape Report, que oferece uma visão geral das ameaças mais relevantes na primeira metade de 2022. Segundo o estudo, que visa analisar as principais vulnerabilidades e ciber-riscos em setores estratégicos a nível mundial, ao longo dos primeiros seis meses do ano o setor da energia tem sido vítima de numerosos incidentes causados por entidades com diferentes motivações. Destaca-se o aumento dos ciberataques destinados a destruir ou paralisar infraestruturas elétricas para causar os maiores danos possíveis.

A equipa de Intelligence da S21sec conclui que, entre os ataques mais significativos durante a primeira metade do ano, destacam-se os que ocorreram no mês de fevereiro. O setor da energia europeu sofreu uma série de ciberataques visando, entre outros, empresas alemãs, belgas e romenas. Para além destes, houveram outros incidentes destinados a atacar infraestruturas críticas, tais como o de ransomware que afetou um grande grupo italiano e que deixou inoperativos os seus sistemas de IT.

Durante o mês de fevereiro, a maioria dos ataques registados sobre este sector tiveram como alvo empresas da cadeia de abastecimento, fornecedores e instalações ou sistemas de suporte, desencadeados por cibercriminosos com motivações, principalmente, económicas. Devido à magnitude das consequências, os ciberataques a sistemas de infraestruturas críticas tornaram-se um dos maiores perigos para a sociedade, causando mesmo a paralisação dos serviços públicos e situações de escassez de abastecimento.

“Devemos ter presente que as infraestruturas energéticas de um país são consideradas infraestruturas críticas e que um ataque contra elas pode representar riscos não só para a empresa atacada, mas também para o público”.
Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.

Neste contexto, o estudo da S21sec concluiu que houveram pelo menos 43 ataques de ransomware contra empresas do setor da energia desde janeiro de 2022. Em Portugal, um dos ciberataques com maior impacto ocorreu no mês de maio numa empresa dos Açores e afetou os seus sistemas de informação, nomeadamente o sistema comercial durante vários dias.

O setor energético, um dos principais setores afetados pela guerra

Desde o início da guerra, após a invasão russa à Ucrânia, as ciberameaças que visam o setor energético e infraestruturas críticas têm vindo a aumentar e os atacantes expandiram os seus alvos a outros países europeus, especialmente aqueles que prestam apoio à Ucrânia. Assim, as entidades alinhadas com a Rússia ameaçaram conduzir operações no ciberespaço como retaliação por alegadas ofensivas cibernéticas contra o governo russo, bem como ataques direcionados contra países e organizações que se posicionaram do lado oposto.

“A grande maioria dos ataques observados durante o desenvolvimento da guerra híbrida consistiram em website defacement e ataques DDoS (despoletados por hacktivistas), fugas de bases de dados e informações confidenciais de agências governamentais e infraestruturas críticas e também pela utilização de malware específico (wipers) com o objetivo de destruir ou apagar dados de sistemas críticos deste sector”.
Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.

Na fase inicial do conflito entre a Rússia e a Ucrânia, foram registados três ciberataques a empresas europeias de produção de energia eólica por parte de grupos de ransomware que se declararam solidários com o governo russo, tais como o Conti e o Black Basta. Vale a pena notar que, embora o incentivo por detrás destes grupos seja geralmente económico, não se pode excluir que também tenham sido motivados politicamente, com o objetivo de perturbar o funcionamento das empresas de produção de energia na Europa.

Também no início do conflito, o ransomware Blackcat, ligado a grupos cibercriminosos russos, visou empresas envolvidas na produção e transporte de petróleo e gás. O ransomware-as-a-service Blackcat, que se tornou ativo em novembro de 2021, é distribuído maioritariamente através de email. Quando a vítima descarrega e abre o anexo do e-mail, o malware começa a ser executado na máquina e posteriormente são utilizadas diversas técnicas sofisticadas com o objetivo final de encriptar os ficheiros da organização.

“Uma das particularidades do Blackcat é a utilização da técnica de tripla extorsão na tentativa de adicionar ainda mais pressão sobre a necessidade para o pagamento do resgate por parte da vítima. Para além da encriptação dos dados dentro da organização, da exfiltração de informação e ameaça de publicação desta no seu blog na Deep Web, é adicionada também a ameaça da execução de ataques distribuídos de negação de serviço (DDoS) caso a vítima não pague o resgate pedido.”
Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.