O setor de energia e bioenergia no Brasil opera sob nível de ameaça cibernética classificado como alto e crescente. O diagnóstico é do relatório “Modelagem de Ameaças: Um Raio-X da Cibersegurança no Setor Energia e Bioenergia”, produzido pela Redbelt Security. O documento aponta o ransomware de dupla extorsão como principal ameaça tática e identifica a convergência pouco segura entre redes de TI e de tecnologia operacional (TO/ICS) como o risco estratégico mais sensível da cadeia.
Escalada de ataques e superfície de risco
O Brasil registrou um crescimento de 95% no volume de ciberataques apenas no terceiro trimestre de 2024, movimento que ganhou ainda mais tração em 2025. No primeiro semestre de 2025, a Câmara de Comercialização de Energia Elétrica (CCEE) bloqueou 539 milhões de tentativas de ataques cibernéticos, enquanto a ANEEL reportou 535 mil tentativas no mesmo período, o que coloca o país entre os ambientes mais hostis do mundo para infraestrutura crítica digital.
Hoje, o setor de energia é globalmente o terceiro mais visado por cibercriminosos, atrás apenas de finanças e governo, com 80% das empresas de energia em 40 países, incluindo o Brasil, reportando incidentes recentes. A digitalização acelerada das utilities, impulsionada por smart grids, medidores inteligentes e automação de usinas e fazendas de bioenergia, ampliou de forma expressiva a superfície de ataque.
“O volume de tentativas que a CCEE e a ANEEL reportam não é produzido pela Redbelt, são dados públicos. O que fazemos é ler esse cenário com a experiência de quem atua na linha de frente. O desafio é que o setor precisa proteger dois mundos ao mesmo tempo: a TI corporativa e os sistemas operacionais que controlam turbinas e subestações. São lógicas diferentes, equipes diferentes, prioridades que às vezes competem entre si”, afirma Eduardo Lopes, CEO da Redbelt Security.
Matriz energética forte, blindagem digital desigual
O estudo apresenta que o Brasil dispõe de uma matriz energética diversificada, com forte presença de hidrelétricas, fontes eólica e solar, além da bioenergia (etanol, biodiesel, biomassa). Em 2024, o país foi o quarto maior mercado de energia solar do mundo, adicionando 18,9 GW de potência, o que elevou a fonte solar à posição de segunda maior da matriz elétrica nacional, com 22,5% da capacidade instalada, à frente da eólica.
No mesmo ano, o investimento total em infraestrutura somou R$ 266,8 bilhões, dos quais R$ 112,8 bilhões foram absorvidos pelo subsetor de energia elétrica. As distribuidoras investiram R$ 33 bilhões em 2024 e projetam R$ 47 bilhões em 2025 para modernização e digitalização de redes. A projeção nacional de investimentos em cibersegurança é de R$ 104,6 bilhões até 2028, considerando todos os setores da economia.
Para a Redbelt Security, o contraste entre esses números e o nível de exposição aponta para uma falta de alinhamento estrutural. “O setor elétrico lidera o investimento em infraestrutura no país, mas a fatia dedicada à cibersegurança ainda não aparece de forma clara nos balanços. Quando você cruza esse dado com centenas de milhões de tentativas de ataque por semestre, fica difícil sustentar que a defesa está proporcional à exposição”, analisa o CEO da consultoria.
Ransomware e ataques à camada operacional
O estudo posiciona o ransomware de dupla extorsão, que combina sequestro de dados com ameaça de vazamento, como principal vetor contra o setor. O modelo de “Big Game Hunting”, em que grupos criminosos miram grandes empresas em busca de resgates milionários, aparece como padrão dominante.
Casos recentes no setor de bioenergia e de óleo e gás ilustram a combinação entre interrupção operacional e extorsão baseada em propriedade intelectual. Em um episódio, sistemas operacionais e logísticos foram comprometidos, afetando a continuidade de processos industriais. Em outro, a ação teve como foco a exfiltração de dados de pesquisa e desenvolvimento.
Outro vetor central é o comprometimento de dispositivos de borda, como VPNs e firewalls não corrigidos, que funcionam como porta de entrada para redes de TI e, a partir delas, para ambientes de automação industrial (OT/ICS). Na camada operacional, o estudo ressalta o uso de malware específico para ICS (como as famílias Industroyer2 e Pipedream, citadas como exemplos globais) e a manipulação de protocolos industriais legítimos (Modbus, DNP3) para alterar setpoints de PLCs e RTUs e provocar falhas físicas ou paradas de produção.
“Quando o atacante consegue usar o próprio protocolo industrial para comandar equipamentos, o problema deixa de ser digital e passa a ser físico. A diferença entre cumprir requisitos mínimos de compliance e de fato gerir risco se mede em megawatts fora do ar, não em páginas de relatório”, afirma o CEO.
Maturidade desigual em OT
O diagnóstico aponta que a vulnerabilidade específica do Brasil está na baixa maturidade de segurança em ambientes OT/ICS fora das grandes geradoras e transmissoras. Usinas de bioenergia e subestações menores frequentemente operam sem inventário estruturado de ativos e sem monitoramento de rede.
A exposição de serviços de acesso remoto (RDP/VPN) sem autenticação multifator permanece como vulnerabilidade crítica, facilitando a entrada de brokers de acesso que revendem credenciais a grupos de ransomware. Na prática, a combinação de sistemas legados sem atualização, ausência de segmentação entre TI e TO e controles de acesso fracos concentra os riscos de maior severidade: interrupção operacional, perda de propriedade intelectual e sanções regulatórias.
O estudo enfatiza que o impacto de um incidente cibernético no setor de energia ultrapassa a esfera de perdas financeiras diretas, alcançando segurança pública e soberania nacional. A análise destaca três eixos de risco crítico: interrupção operacional (com potencial de blackout regional ou nacional), extorsão de dados sensíveis (incluindo informações de milhões de consumidores, dados de exploração e fórmulas de biocombustíveis) e não conformidade regulatória, que pode afetar concessões e licenças de operação.
Agenda mínima
O relatório propõe uma agenda baseada em três camadas: governança, arquitetura e detecção.
No nível estratégico, recomenda a criação de comitê de risco cibernético com expertise em TO, integração da segurança ao planejamento de CAPEX, adoção de modelo Zero Trust para acessos remotos e contratação de seguro cibernético que cubra perda de receita por interrupção.
Na arquitetura, indica a implementação da estrutura Purdue com separação entre redes de TI e TO, uso de zona desmilitarizada industrial (IDMZ), autenticação multifator obrigatória para acessos remotos e monitoramento passivo na rede OT.
Na camada de detecção, o relatório sugere o uso de regras Sigma e YARA em SIEM/EDR para identificar movimentação lateral por ferramentas nativas (como PsExec, WMI e PowerShell), padrões típicos de ransomware (como uso de vssadmin e limpeza de logs com wevtutil) e comandos de escrita em PLCs/RTUs originados de IPs fora da sub-rede de controle, apoiados por requisitos forenses específicos em OT, como coleta contínua de pacotes (PCAP) e inventário de firmware.
“O setor avançou muito nos últimos anos em compliance e governança. O próximo passo é garantir que a segurança da camada operacional evolua no mesmo ritmo e isso exige um tipo de especialização que nem sempre está dentro de casa”, conclui Lopes.
