Исследователи компании ESET представили технические детали недавнего инцидента с уничтожением данных в компании польского энергетического сектора. В ходе атаки был использован ранее неизвестный вирус-уничтожитель, получивший название DynoWiper. Анализ тактик, техник и процедур (TTPs) позволяет с умеренной уверенностью связать эту активность с хакерской группой Sandworm, известной своими деструктивными операциями.
Описание
Новый инструмент для уничтожения данных
Инцидент был обнаружен в конце декабря 2025 года, когда на компьютерах одной из польских энергетических компаний были зафиксированы попытки выполнения вредоносных образцов. Антивирусное решение ESET PROTECT заблокировало их запуск, что существенно ограничило потенциальный ущерб. Зловред, названный DynoWiper, предназначен для необратимого повреждения файлов. Его работа заключается в перезаписи содержимого файлов случайными данными, что делает восстановление информации практически невозможным.
Для ускорения процесса уничтожения DynoWiper использует дифференцированный подход. Файлы размером 16 байт и меньше перезаписываются полностью, в то время как для более крупных файлов повреждаются только отдельные части. Интересно, что в своей логике вирус изначально избегает ключевых системных каталогов, таких как "Windows" или "Program Files", вероятно, чтобы не нарушить работу системы до завершения основной задачи. Однако в последующих фазах атаки эти исключения могут сниматься.
Сходства с прошлыми операциями Sandworm
Ключевым аспектом для атрибуции стали заметные параллели с другим вирусом-уничтожителем - ZOV wiper, который ESET с высокой уверенностью приписывает группе Sandworm. ZOV wiper был обнаружен в ноябре 2025 года при атаке на финансовое учреждение на Украине. Оба зловреда демонстрируют схожую архитектуру, включая схожий алгоритм перезаписи файлов в зависимости от их размера и логику исключения системных директорий.
Более того, метод развертывания вредоносного кода также указывает на Sandworm. Группа часто злоупотребляет политиками групповой политики Active Directory (GPO) для массового распространения вирусов-уничтожителей по всей корпоративной сети. В случае с DynoWiper был обнаружен PowerShell-скрипт для развертывания, функционально похожий на те, что использовались Sandworm в других операциях, включая атаки с ZOV wiper и RansomBoggs.
Эволюция тактики против Польши
Sandworm имеет долгую историю таргетирования польских компаний, особенно в энергетическом секторе. Ранее, как в случаях с вредоносами BlackEnergy и GreyEnergy, эти операции носили преимущественно шпионский характер. Однако после начала полномасштабного вторжения России в Украину тактика группы в отношении Польши изменилась. В октябре 2022 года Sandworm провела деструктивную атаку на логистические компании в Украине и Польше, замаскировав её под инцидент с вымогательским ПО Prestige ransomware.
Атака с использованием DynoWiper знаменует собой дальнейшую эскалацию. Это редкий случай, когда группа, связанная с Россией, напрямую развернула откровенно деструктивный вирус-уничтожитель данных на критическом объекте в стране-члене ЕС. Важно отметить, что обнаруженные образцы DynoWiper нацелены исключительно на ИТ-инфраструктуру и не содержат функционала для атаки на операционные технологии, в отличие от более специализированных Industroyer и Industroyer2, также созданных Sandworm.
Умеренная уверенность в атрибуции
Исследователи ESET присваивают атрибуцию DynoWiper группе Sandworm с умеренной уверенностью. В пользу этого говорят несколько факторов: совпадение TTPs с известными операциями группы, выбор цели в типичной для Sandworm отрасли и исторический контекст атак на Польшу. Однако существуют и противоречия. Традиционно Sandworm действовала в Польше более скрытно, либо занимаясь кибершпионажем, либо маскируя уничтожение данных под ransomware-атаку. Не исключено, что начальные этапы взлома, включая получение первоначального доступа, могли быть проведены другой группой, которая затем передала контроль Sandworm для финальной деструктивной фазы.
Этот инцидент подчеркивает сохраняющуюся высокую угрозу со стороны продвинутых деструктивных группировок для критической инфраструктуры по всей Европе. Тесное сотрудничество между поставщиками решений безопасности, такими как ESET, и национальными CERT-командами, как CERT Polska, сыгравшая ключевую роль в расследовании, остается критически важным для противодействия подобным угрозам.
Индикаторы компрометации
IPv4
- 31.172.71.5
SHA1
- 410c8a57fe6e09edbfebaba7d5d3e4797ca80a19
- 472ca448f82a7ff6f373a32fdb9586fd7c38b631
- 4ec3c90846af6b79ee1a5188eefa3fd21f6d4cf6
- 4f8e9336a784a196353023133e0f8fa54f6a92e2
- 69ede7e341fd26fa0577692b601d80cb44778d93
- 86596a5c5b05a8bfbd14876de7404702f7d0d61b
- 9ec4c38394ea2048ca81d48b1bd66de48d8bd4e8
