Malware DynoWiper
Na última semana de dezembro de 2025, o grupo de hackers estatal russo conhecido como Sandworm foi responsável pelo que foi descrito como a maior tentativa de ataque cibernético já registrada contra o sistema elétrico da Polônia. O incidente ocorreu nos últimos dias do ano e foi reconhecido publicamente pelas autoridades nacionais como o ataque mais intenso à infraestrutura energética do país em anos.
Apesar da escala e sofisticação da operação, o ataque não teve sucesso. O ministro da Energia da Polônia, Milosz Motyka, confirmou que não houve interrupção no fornecimento de eletricidade.
Índice
Infraestrutura crítica sob ataque digital direto
Os ataques, detectados em 29 e 30 de dezembro de 2025, foram direcionados a duas centrais de cogeração (CHP) e a um sistema responsável pela gestão da eletricidade gerada a partir de fontes renováveis, incluindo turbinas eólicas e parques fotovoltaicos. As forças militares cibernéticas caracterizaram a atividade como a mais forte campanha cibernética hostil contra a infraestrutura energética polaca em tempos recentes.
Os pesquisadores que analisaram o incidente não encontraram evidências de que a tentativa de sabotagem tenha tido qualquer impacto operacional.
DynoWiper surge como uma nova ferramenta destrutiva.
De acordo com um relatório recentemente divulgado por especialistas em segurança da informação, a operação envolveu um malware de limpeza de dados não documentado anteriormente, chamado DynoWiper, também rastreado como Win32/KillFiles.NMO. A atribuição ao Sandworm baseia-se em sobreposições técnicas e comportamentais com campanhas destrutivas anteriores ligadas ao mesmo adversário, particularmente aquelas realizadas após a invasão em larga escala da Ucrânia pela Rússia em fevereiro de 2022.
O dispositivo de limpeza de sistemas foi implantado como parte de uma tentativa coordenada de interromper o setor energético da Polônia, sinalizando o investimento contínuo do agente malicioso em ferramentas desenvolvidas especificamente para sabotagem de infraestrutura.
Resposta governamental e contramedidas regulatórias
As autoridades polacas afirmaram que todos os indicadores apontam para grupos diretamente ligados a serviços russos. Em resposta, o governo está a preparar medidas de segurança adicionais, incluindo o aprimoramento de legislação fundamental em matéria de cibersegurança. Espera-se que as medidas planeadas imponham requisitos mais rigorosos para a gestão de riscos, a proteção de sistemas de tecnologia da informação (TI) e de tecnologia operacional (TO), e o tratamento de incidentes cibernéticos que afetem serviços críticos.
Uma data simbólica com ressonância histórica
O momento da atividade teve um significado especial. A tentativa de intrusão na rede elétrica polonesa coincidiu com o décimo aniversário do ataque histórico do Sandworm à rede elétrica da Ucrânia, em dezembro de 2015. Essa campanha anterior utilizou o malware BlackEnergy para implantar um componente destrutivo conhecido como KillDisk, provocando cortes de energia que duraram de quatro a seis horas e deixando cerca de 230.000 moradores da região de Ivano-Frankivsk sem eletricidade.
Uma década de rupturas persistentes
O grupo Sandworm possui um longo histórico de ataques a infraestruturas críticas, principalmente na Ucrânia. Dez anos após o apagão de 2015, o grupo continua a perseguir objetivos disruptivos em diversos setores.
Em junho de 2025, pesquisadores revelaram que uma organização ucraniana de infraestrutura crítica havia sido atingida por um malware de apagamento de dados até então desconhecido, denominado PathWiper, que apresentava semelhanças funcionais com o HermeticWiper, outra ferramenta associada ao Sandworm. Durante o mesmo ano, o grupo também foi observado implantando outras famílias de malware destrutivas, incluindo ZEROLOT e Sting, em uma rede universitária ucraniana, seguido por uma onda mais ampla de ataques de apagamento de dados contra entidades governamentais, de energia, logística e do setor de grãos da Ucrânia entre junho e setembro de 2025.
Implicações estratégicas para a defesa do setor energético
A tentativa de intrusão no ecossistema de energia da Polônia reforça a avaliação de que o Sandworm continua focado em operações cibernéticas capazes de produzir consequências no mundo físico. O surgimento do DynoWiper, juntamente com um catálogo crescente de wipers, destaca a contínua evolução de malwares destrutivos e ressalta a urgência de que os fornecedores de energia fortaleçam a resiliência, o monitoramento e os mecanismos de resposta coordenada em ambientes de TI e TO.
