Компания ESET – лидер в области информационной безопасности – обнаружила и проанализировала вредоносное программное обеспечение DynoWiper для уничтожения данных, нацеленное на энергетическую компанию в Польше. Тактика и методы злоумышленников во время атаки очень напоминают предыдущий случай, связанный с распространением в Украине вредоносной программы ZOV для уничтожения данных. Исследователи ESET относят DynoWiper к российской группе киберпреступников Sandworm.
Следует отметить, что в 2025 году специалисты ESET расследовали более 10 инцидентов, связанных с разрушительным вредоносным программным обеспечением группы Sandworm, почти все из которых произошли в Украине.
29 декабря 2025 года образцы DynoWiper были развернуты в совместном каталоге в домене жертвы. Возможно, злоумышленники Sandworm сначала протестировали работу на виртуальных машинах, прежде чем развернуть вредоносное программное обеспечение в организации. DynoWiper стирает файлы на всех сменных и стационарных дисках, и в конце перезагружает систему, завершая ее уничтожение.
29 декабря 2025 года образцы DynoWiper были развернуты в совместном каталоге в домене жертвы. Возможно, злоумышленники Sandworm сначала протестировали работу на виртуальных машинах, прежде чем развернуть вредоносное программное обеспечение в организации. DynoWiper стирает файлы на всех сменных и стационарных дисках, и в конце перезагружает систему, завершая ее уничтожение.
В отличие от других вредоносных программ Sandworm, в частности Industroyer и Industroyer2, недавно обнаруженные образцы DynoWiper сосредоточены исключительно на ИТ-среде, без обнаружения функционала, направленного на промышленные компоненты операционных технологий. Однако это не исключает вероятности использования таких возможностей в других частях атаки.
Исследователи ESET обнаружили несколько сходств суже известным разрушительным вредоносным программным обеспечением, в частности, с программой ZOV для уничтожения данных, которую ESET с высокой уверенностью приписывает Sandworm. ZOV – это разрушительное вредоносное программное обеспечение, обнаруженное во время атаки на финансовое учреждение в Украине в ноябре 2025 года. После запуска угроза ZOV перебирает файлы на всех стационарных дисках и стирает их, перезаписывая их содержимое. Еще один случай с угрозой ZOV произошел в энергетической компании в Украине 25 января 2024 года.
Что такое Sandworm
Sandworm – это связанная с россией группа киберпреступников, совершающая разрушительные атаки, направленные на широкий спектр организаций, в частности, государственные учреждения, логистические компании, транспортные фирмы, энергопоставщиков, медиа-организации, компании зернового сектора и телекоммуникационные компании. Эти атаки, как правило, предполагают развертывание вредоносного программного обеспечения для удаления файлов, стирания данных и вывода систем из строя.
Кроме Украины, у группы киберпреступников есть десятилетняя история атак на компании в Польше, в частности в энергетическом секторе. В октябре 2022 года она совершила разрушительную атаку на логистические компании как в Украине, так и в Польше, замаскировав операцию под инцидент с программой-вымогателем Prestige. Поскольку большинство кибератак Sandworm сейчас направлены на Украину, компания ESET тесно сотрудничает с украинскими партнерами, в частности с Командой реагирования на компьютерные чрезвычайные события Украины (CERT-UA), для своевременного реагирования и предотвращения подобных атак.
В случае обнаружения вредоносной деятельности в собственных ИT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.