Ciberataques a PLC da Rockwell Automation: Como 4.000 Dispositivos Industriais dos EUA Foram Expostos em 2026
Automação Industrial Enfrenta Risco Cibernético Sem Precedentes
Quase 4.000 dispositivos de automação industrial dos EUA — principalmente PLCs Rockwell Automation/Allen‑Bradley — foram expostos a ataques cibernéticos patrocinados pelo Estado iraniano a partir de março de 2026. Esses incidentes interromperam operações, forçaram o controle manual e causaram perdas financeiras em setores críticos. Além disso, várias agências federais confirmaram que grupos APT iranianos exploraram sistemas de controle expostos à internet, manipularam displays HMI/SCADA e tentaram ações destrutivas usando malware wiper. Como resultado, operadores dos EUA enfrentam urgência aumentada para proteger ativos de automação fabril.
Invasores Exploraram EtherNet/IP e Infraestrutura Exposta de PLCs
A campanha teve como alvo PLCs que se comunicam via EtherNet/IP, um protocolo amplamente usado em automação fabril e indústrias de processo. Segundo dados da Censys, 5.219 hosts globais foram identificados como dispositivos Rockwell Automation/Allen‑Bradley, com 74,6% localizados nos Estados Unidos. Muitos PLCs operavam em redes celulares, indicando implantação em campo com segurança física limitada. Além disso, os invasores usaram técnicas MITRE ATT&CK como Exploit Public‑Facing Application (T1190) e External Remote Services (T1133) para obter acesso, extrair arquivos de projeto e manipular dados operacionais.
Displays HMI/SCADA Manipulados Interrompem Controle de Processo
Uma vez dentro do ambiente PLC, os invasores alteraram os displays HMI e SCADA, prejudicando a visibilidade do processo e forçando os operadores a mudarem para operação manual. Essa atividade está alinhada com Impair Process Control (T0813) e Stored Data Manipulation (T1565.001). Portanto, as instalações afetadas enfrentaram riscos de segurança aumentados e instabilidade operacional. Com base na minha experiência com comissionamento de DCS e PLC, valores de processo manipulados podem enganar operadores e causar intervenções manuais incorretas, especialmente em sistemas de tratamento de água e energia.
Tentativas de Malware Wiper Evidenciam Intenção Destrutiva
A campanha incluiu tentativas de implantar malware wiper projetado para apagar dados operacionais. Embora o sucesso dessas tentativas não esteja claro, ataques similares ocorreram semanas antes, incluindo o incidente de março de 2026 na Stryker, onde aproximadamente 80.000 dispositivos foram apagados. Esse padrão mostra que os atores de ameaça possuem tanto a capacidade quanto a intenção de causar resultados destrutivos em ambientes industriais. Além disso, seu entendimento das configurações de PLC sugere familiaridade profunda com protocolos industriais e lógica de segurança.
Linha do Tempo Mostra Escalada Rápida das Ameaças Cibernéticas Industriais
A sequência de ataques escalou rapidamente:
-
Março de 2026: Alvo em larga escala de PLCs Rockwell expostos à internet.
-
7 de abril de 2026: Aviso conjunto federal emitido por CISA, FBI, NSA, DOE, EPA e Comando Cibernético dos EUA.
-
10 de abril de 2026: Relatórios públicos confirmam exposição generalizada e atividade contínua da ameaça.
Campanhas anteriores miraram PLCs Unitronics entre 2023 e 2024, comprometendo sistemas de água e esgoto. Portanto, os ataques de 2026 representam uma continuação do interesse iraniano de longo prazo em ambientes ICS.
Atividade da Ameaça Demonstra Conhecimento Profundo de ICS
Agências federais atribuem os ataques a grupos APT iranianos com alta confiança. Suas táticas incluem escanear PLCs expostos, explorar protocolos de acesso remoto, extrair arquivos de projeto, manipular dados de processo e tentar implantar malware destrutivo. A campanha é oportunista, visando qualquer dispositivo acessível em vez de organizações específicas. Como resultado, todos os operadores com PLCs expostos enfrentam risco elevado. Os setores mais afetados incluem petróleo e gás, água e esgoto, energia e serviços governamentais.
Ações de Mitigação para Operadores de PLC e Sistemas de Controle
Ações defensivas críticas incluem:
-
Desconectar PLCs da internet pública para eliminar exposição direta.
-
Aplicar MFA para todo acesso à rede OT.
-
Atualizar firmware dos PLCs e desativar serviços não utilizados.
-
Monitorar logs continuamente para conexões remotas suspeitas.
-
Fortalecer planos de resposta a incidentes para contenção rápida.
-
Treinar pessoal OT sobre implantação segura de PLCs e riscos de exposição à internet.
Essas recomendações estão alinhadas com orientações federais e melhores práticas para proteger sistemas de controle industrial.
Cenários de Aplicação — Fortalecendo a Segurança ICS em Ambientes de Automação
-
Implantação segura de PLCs usando firewalls e redes OT segmentadas.
-
Monitoramento contínuo do tráfego EtherNet/IP para detectar anomalias.
-
Verificações de integridade HMI/SCADA para identificar valores de processo manipulados.
-
Planejamento de recuperação de desastres para possíveis incidentes com malware wiper.
-
Controle de acesso zero-trust para manutenção remota de ativos PLC e DCS.
Sobre o Autor
Chen Yuhang é um especialista sênior em automação industrial com mais de 15 anos de experiência prática em PLC, DCS, TSI e sistemas de proteção de energia. Seu trabalho foca na implementação de engenharia, fortalecimento da cibersegurança OT e documentação técnica para fabricantes globais de automação e mídia do setor.