A Agência de Segurança de Cibersegurança e Infraestrutura (CISA) emitiu um alerta de cibersegurança para o setor energético dos EUA após uma série de ataques cibernéticos destrutivos à infraestrutura energética na Polônia. O alerta convoca os operadores a revisarem senhas padrão e fortalecerem as proteções em dispositivos conectados à internet após o incidente de dezembro ter exposto vulnerabilidades em tecnologia operacional e sistemas de controle.
O incidente na Polônia ocorreu em 29 de dezembro de 2025, quando várias instalações, incluindo mais de 30 instalações de energia eólica e solar, uma usina combinada de calor e energia e um local de fabricação, foram alvo de atividades maliciosas coordenadas, segundo uma análise da Equipe de Resposta a Emergências Informáticas da Polônia (CERT-PL). Os atacantes obtiveram acesso a dispositivos de borda conectados à internet, como firewalls, gateways de redes privadas virtuais (VPN) e outros sistemas com credenciais padrão ou fracas.
Uma vez dentro da rede, os atacantes implantaram malware destrutivo que corrompeu o firmware em unidades de terminal remotas (RTUs), apagou dados nas interfaces homem-máquina (HMIs) e apagou dados dos sistemas de TI corporativos, segundo o alerta. Essas ações prejudicaram a capacidade dos operadores de monitorar e controlar infraestrutura crítica, embora a produção de energia nos locais de energia renovável afetados tenha continuado durante o incidente.
Em seu aviso, a CISA destacou que dispositivos de borda voltados para a internet continuam sendo um alvo principal para atores de ameaça. Esses dispositivos conectam sistemas de controle internos a redes mais amplas e podem fornecer um ponto de entrada para atacantes quando ficam com credenciais de login padrão ou reutilizadas e proteções de autenticação fracas. O aviso incentivou as organizações a substituirem os equipamentos em fim de vida útil e a impor mudanças de senha para todos os dispositivos.
A orientação também apontou o risco apresentado pela tecnologia operacional que não possui verificação de firmware. Em alguns casos, dispositivos sem mecanismos para validar a integridade do firmware podem ser permanentemente danificados por código malicioso ou alterações de configuração corrompidas. A CISA recomendou que os operadores priorizem atualizações que suportem a verificação de firmware sempre que possível e garantam que os planos de resposta a incidentes considerem possíveis falhas em OTs.
A análise polonesa do CERT atribuiu o incidente a uma campanha deliberada e disruptiva, alinhada com tensões geopolíticas mais amplas, embora não tenham sido relatados grandes interrupções até então. O uso de credenciais padrão para obter acesso inicial ressaltou o risco contínuo de falhas básicas de segurança em ambientes de infraestrutura crítica.
Em seu alerta, a CISA incentivou empresas de energia dos EUA e outros operadores de infraestrutura crítica a revisarem as descobertas técnicas do CERT-PL e integrarem as medidas de segurança recomendadas em suas operações. Essas incluem a aplicação da autenticação multifatorial sempre que possível, a redução da exposição da rede para sistemas OT e de controle industrial, e a remoção de hardware não suportado ou vulnerável do serviço.
Recentemente, a agência tem se concentrado na redução dos riscos decorrentes de equipamentos de rede não protegidos. Em uma diretriz separada emitida a agências federais, a CISA ordenou a remoção de dispositivos de borda não suportados dos sistemas governamentais, refletindo um esforço mais amplo para fechar caminhos de ataque comuns explorados em incidentes recentes.
O alerta faz parte de uma orientação contínua das autoridades de segurança dos EUA, com o objetivo de fortalecer as proteções em energia, manufatura e outros setores que dependem de tecnologia operacional interconectada. O aviso da CISA serve como um lembrete da importância da higiene básica da cibersegurança, incluindo a alteração das senhas padrão e a aplicação de padrões de configuração segura para todos os dispositivos conectados à internet.