Uma empresa britânica de serviços públicos que fornece água potável para 1,6 milhão de pessoas não descobriu hackers escondidos em sua rede de computadores por quase dois anos antes que a intrusão viesse à tona através de uma lentidão no desempenho de TI, descobriu o regulador de proteção de dados do Reino Unido. ### ICO multa South Staffordshire Water O **Information Commissioner's Office (ICO)** multou a **South Staffordshire Water** em £963.900 (US$ 1,3 milhão) na segunda-feira devido a um ataque do grupo de ransomware **Cl0p** que levou à publicação de dados pessoais de 633.887 clientes e funcionários em agosto de 2022. De acordo com o aviso de penalidade, o acesso inicial ocorreu quase dois anos antes, em setembro de 2020, quando um funcionário abriu um anexo de e-mail malicioso, instalando um software que deu ao atacante um ponto de apoio na rede corporativa. O ator de ameaça permaneceu oculto até maio de 2022 antes de começar a se mover lateralmente pelos sistemas usando uma conta de administrador de domínio, o nível mais alto de acesso ao sistema disponível. A empresa não identificou a intrusão até julho de 2022, quando os problemas de desempenho de TI levaram a uma investigação interna. Duas semanas depois, a empresa descobriu uma nota de resgate que o atacante havia tentado distribuir sem sucesso a certos membros da equipe. Após o incidente, a South Staffordshire detectou aproximadamente 4,1 terabytes de dados publicados na dark web, incluindo nomes, endereços, datas de nascimento, números de conta bancária e códigos de agência, números do National Insurance e, para uma pequena porcentagem de clientes no Registro de Serviços Prioritários da empresa, informações das quais deficiências poderiam ser inferidas. ### Falhas de Segurança Expostas A investigação do ICO identificou quatro falhas de segurança específicas, incluindo a falha na implementação do princípio do menor privilégio — um controle padrão que limita o acesso do usuário apenas ao que é necessário para sua função — permitindo que o ator de ameaça se movesse livremente pela rede usando uma conta de administrador de domínio. Em dezembro de 2021, mais de um ano após o atacante obter acesso pela primeira vez, um centro de operações de segurança terceirizado estava monitorando apenas 5% do ambiente de TI da empresa. A terceira parte não foi identificada no relatório do ICO, que disse que a telemetria de endpoint e o registro não foram integrados à plataforma de monitoramento de segurança da empresa. Alguns dispositivos ainda estavam executando o **Windows Server 2003**, um sistema operacional cujo suporte estendido terminou em julho de 2015. Quando questionada pelo ICO para fornecer registros de quaisquer varreduras de vulnerabilidade internas ou externas realizadas entre setembro de 2020 e maio de 2022, a empresa confirmou que tais varreduras não existiam para nenhuma das categorias. Dois controladores de domínio também permaneceram sem patches contra uma vulnerabilidade crítica conhecida como **ZeroLogon**, que permite a escalada rápida de privilégios e foi publicada pela primeira vez em agosto de 2020. O atacante explorou com sucesso essa vulnerabilidade durante o incidente. “Esperar por problemas de desempenho ou uma nota de resgate para descobrir uma violação não é aceitável”, disse Ian Hulme, Diretor Executivo Interino de Supervisão Regulatória do ICO, acrescentando que “a segurança proativa é um requisito legal, não um extra opcional”. ### Detalhes do Incidente e Reações A violação se tornou pública em agosto de 2022, quando, em uma tentativa de extorsão desastrosa, o grupo **Cl0p** alegou ter roubado dados de um fornecedor de água diferente, a **Thames Water**, que atende cerca de 15 milhões de pessoas em Londres e arredores. Na época, o grupo alegou ser capaz de alterar a composição química do abastecimento de água, embora isso tenha sido contestado pela South Staffordshire. O aviso de penalidade não faz referência a nenhuma compromisso de sistemas operacionais ou de tratamento de água. O ICO colocou as infrações na categoria de gravidade média e reduziu a multa total devido à cooperação da South Staffordshire, admissão antecipada de responsabilidade e medidas de mitigação. Uma redução discricionária adicional foi aplicada, embora o raciocínio seja redigido no aviso publicado. A South Staffordshire entrou em um acordo voluntário no início deste ano, garantindo um desconto de 40%, e concordou em não apelar contra a decisão do ICO. ### Crescentes Ataques Cibernéticos a Fornecedores de Água do Reino Unido A multa ocorre enquanto os fornecedores de água britânicos enfrentam um número crescente de ataques cibernéticos. Cinco incidentes foram relatados à Drinking Water Inspectorate entre janeiro de 2024 e outubro de 2025 — um número recorde em qualquer período de dois anos, conforme relatado pela Recorded Future News, que obteve os números sob leis de liberdade de informação em novembro de 2025. Esses relatórios foram feitos voluntariamente. Sob os atuais Regulamentos NIS, os fornecedores de água são obrigados apenas a notificar as autoridades sobre incidentes cibernéticos que causem interrupção real nos suprimentos. A violação da South Staffordshire, que se tornou pública em 2022, não atingiu esse limite. O Cyber Security and Resilience Bill do governo do Reino Unido, destinado a expandir os requisitos de notificação obrigatória e melhorar os padrões de segurança para operadores de infraestrutura crítica, deve ser introduzido no Parlamento este ano. ### Implicações Globais para Infraestrutura Hídrica Embora tenham ocorrido ataques de ransomware contra os sistemas de TI usados por empresas de água — incluindo as empresas que fizeram os relatórios acima no Reino Unido e a Aigües de Mataró na Espanha — é extremamente raro que ataques cibernéticos a fornecedores de água realmente interrompam os serviços. Em um caso raro de um ataque bem-sucedido a um componente de tecnologia operacional (OT), residentes de uma área remota na costa oeste da Irlanda ficaram sem água por vários dias em dezembro de 2023, quando um grupo de hackers pró-Irã atacou indiscriminadamente instalações usando um equipamento que os hackers reclamaram ser fabricado em Israel. O governo federal dos EUA emitiu um aviso sobre a exploração de controladores lógicos programáveis (PLCs) da **Unitronics** usados por muitas organizações no setor de água. Ataques a PLCs, componentes tecnológicos centrais em muitos sistemas de controle industrial, são uma das principais preocupações dos defensores de infraestrutura crítica. Iniciativas para melhorar a segurança dos sistemas hídricos nos Estados Unidos falharam sob a administração Biden quando grupos da indústria de água se uniram a legisladores republicanos para interromper os esforços federais, apesar de aumentos significativos no número de ataques de ransomware e intrusões patrocinadas pelo estado. No ano passado, as autoridades canadenses alertaram sobre um incidente em que hacktivistas alteraram a pressão da água em uma concessionária local em meio a uma série de ataques que interferiram nos sistemas de controle industrial. O CEO da South Staffordshire, Charley Maher, disse: “Aceitamos a decisão do Information Commissioner’s Office relativa ao ciberataque que nosso Grupo sofreu em 2022 e lamentamos a preocupação e o alarme que isso causou aos clientes e funcionários. Tomamos medidas imediatas para conter o incidente, apoiar os impactados e reduzir o risco de recorrência. “Investimos significativamente para fortalecer ainda mais nossa resiliência cibernética, governança e monitoramento, e continuamos a aprimorar nossas capacidades à medida que o cenário de ameaças evolui. Proteger as informações de clientes e funcionários é uma responsabilidade que levamos extremamente a sério e continuamos focados em aprender com este incidente e manter salvaguardas fortes em todo o Grupo.” <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">Saiba mais.</a> <a rel="noopener" href="https://therecord.media/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a> <a href="https://therecord.media/author/alexander-martin"><img src="https://cms.therecord.media/uploads/headshot_79eb085f87.jpeg" data-nimg="1" decoding="async" height="384" width="384" loading="lazy" alt="Alexander Martin"></a>