Sistemas de fábrica obsoletos tornam a indústria brasileira alvo preferencial de ransomware
A modernização parcial das fábricas, em vez de proteger, tem exposto ainda mais o setor industrial brasileiro a ataques de ransomware e extorsão digital. O problema central não está apenas na sofisticação dos criminosos, mas na permanência de sistemas antigos, sem proteção adequada, que seguem conectados a redes modernas e à internet. Essa combinação cria o cenário perfeito para invasões que podem paralisar linhas de produção inteiras.
Um levantamento da unidade de inteligência Heimdall, da ISH Tecnologia, mostra que a manufatura se consolidou como um dos setores mais visados por cibercriminosos em todo o mundo – e o Brasil segue a mesma tendência. A característica que mais atrai os atacantes é a baixíssima tolerância à interrupção operacional: cada hora de parada representa perda financeira direta, atraso em entregas, quebra de contratos e danos à reputação. Os grupos de ransomware exploram justamente essa urgência para aumentar a chance de pagamento do resgate.
O ponto mais frágil desse ecossistema é a convergência entre Tecnologia da Informação (TI) e Tecnologia Operacional (OT). Durante décadas, o chão de fábrica operou isolado, com máquinas e controladores projetados para funcionar em ambientes fechados, sem conexão externa. Com a digitalização da indústria, esses equipamentos foram ligados a redes corporativas, muitas vezes sem que tivessem qualquer tipo de defesa nativa.
“Muitas plantas industriais ainda funcionam com sistemas legados, controladores e máquinas que estão em operação há décadas”, explica Hugo Santos, Diretor de Inteligência de Ameaças da ISH Tecnologia. “Esses ativos não foram pensados para um mundo conectado. Quando passam a se comunicar com redes corporativas e com a internet, viram verdadeiras portas de entrada para invasores que conseguem sair do ambiente administrativo e chegar diretamente ao chão de fábrica.”
Os dados levantados pela Heimdall são contundentes: 71% dos malwares identificados no setor de manufatura são ransomwares. Ou seja, a grande maioria dos ataques tem como objetivo bloquear sistemas, criptografar dados e forçar o pagamento de resgates. Mais do que isso, a tática criminosa evoluiu para a chamada “dupla extorsão”.
Na dupla extorsão, os grupos não se contentam em travar o ambiente produtivo. Eles também roubam informações críticas, como propriedade intelectual, projetos de produtos, fórmulas, segredos industriais e dados estratégicos de clientes e fornecedores. Grupos como Akira e Qilin são exemplos desse modelo de ataque, no qual a empresa é pressionada em duas frentes: a paralisação da operação e a ameaça de divulgação ou venda de dados sensíveis.
Esse tipo de chantagem aumenta de forma dramática o poder de coação sobre a vítima. De um lado, a empresa lida com a urgência de retomar a produção; de outro, enfrenta o risco de perder sua vantagem competitiva no longo prazo se informações estratégicas forem expostas ou caírem nas mãos de concorrentes e outros criminosos. Em muitos casos, o dano à imagem e à confiança do mercado pode ser maior do que o impacto imediato da interrupção da fábrica.
Hugo Santos destaca que a cibersegurança, hoje, é um elemento inseparável da continuidade dos negócios. “A superfície de ataque se expande cada vez que uma indústria depende de terceiros para manutenção remota, suporte técnico ou integração de sistemas. Muitos desses acessos acontecem por VPNs mal configuradas ou sem camadas adicionais de autenticação, abrindo brechas que os grupos criminosos conhecem muito bem e exploram com facilidade”, afirma.
Entre as tendências mais preocupantes está a chamada “extorsão sem criptografia”. Nesse modelo, os atacantes nem sequer se dão ao trabalho de cifrar os dados ou interromper diretamente a operação. O foco é puramente o roubo de informações confidenciais, seguido de ameaças de exposição pública, vazamento na internet ou venda em mercados clandestinos. A exploração de VPNs e acessos remotos vulneráveis é hoje uma das principais portas de entrada para esse tipo de ataque.
Nesse contexto, a antiga fronteira entre TI e OT praticamente deixa de existir. Qualquer vulnerabilidade em um servidor administrativo, em um computador de um fornecedor ou em uma conta de acesso remoto pode ser o ponto de partida para comprometer controladores industriais, estações de trabalho no chão de fábrica e, em última instância, máquinas críticas de produção. O que antes parecia um problema “de computador” se transforma em uma crise de produção em questão de minutos ou horas.
Para reduzir esse risco, a proteção de ambientes industriais precisa ir muito além de antivírus tradicional e firewall de perímetro. Um dos pilares mais importantes é a segmentação rígida de redes: separar, de forma clara e controlada, os ambientes de escritório, os sistemas corporativos e as redes de controle industrial. Isso impede que um ataque iniciado em um notebook de um funcionário, por exemplo, se espalhe livremente até os sistemas que comandam robôs, esteiras, caldeiras ou equipamentos de alta precisão.
Outro ponto essencial é a adoção ampla de autenticação multifator (MFA) em todos os níveis de acesso, principalmente para conexões remotas e contas com privilégios elevados. Senhas complexas já não são suficientes diante do volume de ataques de phishing, roubo de credenciais e vazamentos de bancos de dados. Com a MFA, mesmo que a senha seja comprometida, o criminoso ainda precisa vencer uma segunda barreira, o que reduz drasticamente as chances de invasão.
Além disso, as indústrias precisam revisar com urgência a forma como lidam com sistemas legados. Em muitos casos, não é possível simplesmente substituir máquinas antigas, seja pelo custo, seja pela criticidade da operação. Mas é possível adotar estratégias de “contenção”, como isolar esses equipamentos em redes específicas, limitar rigorosamente quem pode acessá-los e como, e aplicar compensações de segurança, como monitoramento contínuo de tráfego, listas de controle de acesso e filtros de comunicação.
Outro erro comum é tratar a segurança do chão de fábrica como responsabilidade exclusiva da área de TI. A convergência entre TI e OT exige que equipes de tecnologia, engenharia, produção e manutenção trabalhem em conjunto. Sem alinhamento entre esses times, medidas de segurança podem ser vistas como entraves à operação, gerando resistência interna e, por consequência, brechas que permanecem abertas por anos.
Treinamento e conscientização também são fundamentais. Operadores de máquinas, engenheiros, gestores de produção e fornecedores precisam entender que, hoje, um clique em um anexo malicioso ou o uso de um pendrive desconhecido podem resultar na parada completa de uma linha de montagem. A cultura de segurança deve entrar na rotina fabril tanto quanto normas de segurança física, uso de EPIs e procedimentos de manutenção.
Outro aspecto pouco discutido, mas crítico, é o planejamento de resposta a incidentes específicos para ambientes industriais. Muitas organizações têm planos voltados apenas para sistemas de escritório: e-mail, arquivos, sistemas de gestão. Porém, quando o ataque atinge o ambiente OT, as decisões são muito mais complexas: pode ser necessário desligar equipamentos de forma segura, preservar integridade física de colaboradores, evitar danos a máquinas e produtos em processo. Ter um plano previamente testado faz diferença entre uma parada organizada e um caos total.
Investimentos em monitoramento especializado para redes industriais também ganham relevância. Soluções capazes de entender protocolos e equipamentos típicos de OT ajudam a detectar comportamentos anômalos, comunicações suspeitas e mudanças não autorizadas em controladores. Em muitos casos, essa visibilidade é a única forma de identificar precocemente um ataque em andamento antes que ele chegue ao ponto de criptografar ou exfiltrar dados em massa.
A alta direção das empresas do setor de manufatura precisa, ainda, encarar o tema como questão estratégica, e não apenas técnica. Riscos cibernéticos no chão de fábrica impactam diretamente faturamento, cadeia de suprimentos, prazos de entrega, contratos e até a segurança física de pessoas. Incluir a resiliência cibernética nos planos de continuidade de negócios e de gestão de riscos corporativos deixou de ser um diferencial e passou a ser pré-requisito para a sobrevivência em um mercado cada vez mais competitivo.
O cenário atual de hiperconectividade, em que máquinas, sensores, sistemas de gestão e fornecedores externos estão permanentemente interligados, significa que uma falha na proteção digital tende a se traduzir rapidamente em falha na produção física. A fábrica moderna, portanto, só é realmente eficiente se for também resiliente contra ataques cibernéticos. Integrar segurança desde o desenho de novos projetos, linhas de produção e processos de automação é mais barato e mais eficaz do que tentar remendar um ambiente já comprometido.
Na prática, a mensagem que se impõe ao setor industrial é clara: manter sistemas obsoletos e desprotegidos conectados à rede equivale a deixar portas destrancadas em uma área de altíssimo valor. Proteger o chão de fábrica passou a ser sinônimo de proteger o negócio como um todo. Quem enxergar isso a tempo terá mais chances não apenas de se defender dos ataques de ransomware, mas de sustentar sua competitividade em um mundo em que parar por alguns dias pode significar perder espaço de forma definitiva.