Výskumníci z bezpečnostnej spoločnosti ESET identifikovali nový ničivý malvér typu wiper nazývaný DynoWiper, ktorý bol nasadený proti energetickej spoločnosti v Poľsku.
Tento škodlivý softvér vymazáva dáta a je podľa analýzy techník, taktík a postupov (TTP) veľmi podobný wiperu ZOV, ktorý sa v minulosti vyskytol pri útokoch na Ukrajine.
Ojedinelý incident
Incident je ojedinelý, pretože ide o prvý známy prípad, kde ruská hackerská skupina Sandworm použila deštruktívny wiper proti energetickému sektoru v Poľsku. Doteraz bol ich deštruktívny malvér zaznamenaný najmä na Ukrajine v rámci viac ako desiatich útokov z predchádzajúceho obdobia.
ESET uviedol, že bezpečnostné riešenie ESET PROTECT s nástrojom rozšírenej detekcie a reakcie (XDR) dokázalo zablokovať spustenie wiperu, čím sa výrazne obmedzili škody na napadnutých systémoch. Poľský národný tím pre kybernetickú bezpečnosť CERT Polska sa prípadom zaoberal a publikoval podrobnú správu.
Ako malvér funguje?
Dňa 29. decembra 2025 boli tri odlišné vzorky DynoWiperu nasadené v doméne obete, no všetky pokusy o jeho spustenie spočiatku zlyhali. Malvér prepisuje súbory pomocou 16-bajtového pamäťového buffera náhodných dát, pričom menšie súbory sú úplne prepísané a väčšie sú čiastočne poškodené pre urýchlenie procesu. DynoWiper vymazáva súbory zo všetkých pripojených diskov a vynucuje reštart systému na dokončenie útoku.
Na rozdiel od iných malvérov skupiny Sandworm, ako sú Industroyer alebo Industroyer2, DynoWiper sa sústredí výhradne na IT infraštruktúru a neobsahuje funkcie na ovplyvnenie priemyselných operačných systémov. Podobnosť so známym wiperom ZOV je významná, vrátane špecifík spracovania súborov a vylúčení určitých adresárov.
Ruská skupina Sandworm
Sandworm je ruská skupina známa ničivými kybernetickými útokmi na vládne inštitúcie, dopravné spoločnosti, energetický sektor a ďalšie kritické oblasti, ktoré často zahŕňajú wiper malvér určený na zničenie dát a znemožnenie fungovania systémov. Okrem Ukrajiny sa jej útoky v poslednom desaťročí vyskytli aj v Poľsku.
ESET úzko spolupracuje s ukrajinskými partnermi, vrátane ukrajinskej organizácie CERT, pri prevencii a reakcii na podobné incidenty. Podrobnejšia technická analýza DynoWiperu je k dispozícii v blogu na WeLiveSecurity.
