DynoWiper: nowy wiper użyty w nieudanej próbie sabotażu polskiego sektora energii (Sandworm)

securitybeztabu.pl 2 dni temu

Wprowadzenie do problemu / definicja luki

Pod koniec grudnia 2025 r. odnotowano skoordynowaną próbę ataku na polski sektor energetyczny, w której wykorzystano destrukcyjne złośliwe oprogramowanie typu wiper (malware do trwałego niszczenia danych). Według ustaleń ESET oraz relacji medialnych, atak był nieudany – nie ma dowodów na skuteczne zakłócenie działania infrastruktury.

W tym przypadku najważniejsze jest to, iż mówimy o klasie incydentów nastawionych nie na kradzież danych czy okup (ransomware), ale na szybkie unieruchomienie systemów poprzez kasowanie/niszczenie plików oraz potencjalne utrudnienie odtworzenia środowiska.

W skrócie

  • Atak miał miejsce 29–30 grudnia 2025 r. i obejmował m.in. dwie elektrociepłownie (CHP) oraz system wspierający zarządzanie energią z OZE (np. wiatr i fotowoltaika).
  • ESET przeanalizował próbkę nowego wipera, nadając mu nazwę DynoWiper (detekcja: Win32/KillFiles.NMO).
  • Atrybucja do grupy Sandworm (powiązanej z rosyjskim GRU) ma według ESET „średni” poziom pewności i opiera się na nakładaniu się TTP oraz podobieństwach do wcześniejszych aktywności destrukcyjnych.
  • Kontekst historyczny jest istotny: Sandworm ma udokumentowaną historię operacji destrukcyjnych, w tym kampanii przeciw energetyce.

Kontekst / historia / powiązania

Sandworm to jeden z najbardziej znanych „destrukcyjnych” aktorów APT, wiązany z jednostką GRU 74455 i aktywny co najmniej od 2009 r. W narracji wokół incydentu pojawia się też wymiar symboliczny: ESET zwraca uwagę, iż działania zbiegły się z 10. rocznicą głośnego ataku na ukraińską energetykę (2015), który był szeroko opisywany jako przełomowy przykład cyberataku na infrastrukturę krytyczną.

Z perspektywy strategii zagrożeń istotny jest sam wybór celów: połączenie aktywów wytwórczych (CHP) oraz elementów „krwiobiegu” nowoczesnej energetyki – systemów komunikacji i zarządzania generacją rozproszoną (OZE).

Analiza techniczna / szczegóły luki

1) Co wiemy na pewno o DynoWiper

Publicznie udostępnione informacje są na razie dość oszczędne: ESET potwierdza analizę nowego wipera DynoWiper i wskazuje jego charakter destrukcyjny (data-wiping), a także nazwę detekcji Win32/KillFiles.NMO. Reuters i inne media streszczają, iż malware miało niszczyć pliki i unieruchamiać systemy.

2) Jak typowo działają wipery w środowiskach IT/OT (użyteczne do obrony)

Ponieważ szczegóły implementacyjne DynoWiper nie zostały szeroko opisane w materiałach publicznych (na dzień publikacji źródeł), warto przełożyć „wiper” na obserwowalne artefakty obronne. W praktyce wipery często realizują część lub całość poniższych działań:

  • masowe usuwanie plików (czasem z użyciem list rozszerzeń/ścieżek) lub ich nadpisywanie,
  • kasowanie kopii zapasowych/Shadow Copies i punktów przywracania,
  • destabilizacja systemu (np. niszczenie konfiguracji, usług, krytycznych katalogów),
  • równoległe użycie narzędzi „living-off-the-land” (np. do dystrybucji w domenie) – szczególnie w kampaniach przypisywanych Sandworm, gdzie destrukcja bywa etapem końcowym po wcześniejszym dostępie i przygotowaniu środowiska. (To jest uogólnienie na bazie znanego profilu grupy w ATT&CK.)

3) Atrybucja: dlaczego Sandworm

ESET komunikuje atrybucję do Sandworm z „medium confidence”, wskazując na silne nakładanie się z wcześniejszymi aktywnościami wiperowymi tej grupy. Z kolei MITRE ATT&CK opisuje Sandworm jako grupę o profilu destrukcyjnym, z historią operacji obejmujących m.in. NotPetya i wcześniejsze kampanie przeciw sektorom państwowym i krytycznym.

Praktyczne konsekwencje / ryzyko

Najważniejsze ryzyko w tym typie incydentu to krótki czas do efektu i wysoki koszt odtwarzania. choćby jeżeli atak nie powoduje natychmiastowego blackoutu, wiper:

  • może zatrzymać procesy biznesowe (OT/IT) przez konieczność odbudowy stacji, serwerów i domeny,
  • utrudniać sterowanie i bilansowanie (szczególnie, gdy celem są elementy komunikacji OZE z operatorami),
  • generować koszty operacyjne i reputacyjne – choćby przy braku fizycznych skutków.

W tym przypadku polskie władze i badacze mówią, iż nie doszło do skutecznych zakłóceń, ale sam dobór celów (CHP + zarządzanie OZE) pokazuje, gdzie atakujący mógłby próbować uzyskać efekt „systemowy”.

Rekomendacje operacyjne / co zrobić teraz

Poniższe działania są praktyczne niezależnie od tego, czy DynoWiper pojawi się ponownie (i choćby przy ograniczonej widoczności jego IoC):

  1. Segmentacja IT/OT i kontrola przepływów
  • „Hard separation” krytycznych stref OT (SCADA/EMS/DMS, serwery inżynierskie) od IT; dopuszczaj tylko jawnie dozwolone protokoły i kierunki.
  • Bastionowanie dostępu z MFA i rejestrowaniem sesji.
  1. Wzmocnienie Active Directory i mechanizmów dystrybucji
  • Monitoruj nietypowe użycie GPO, PSExec/WMI/WinRM oraz narzędzi zdalnej administracji.
  • Ogranicz uprawnienia kont serwisowych; wprowadź JIT/JEA dla adminów.
  1. Backupy odporne na wipery
  • Kopie offline/immutable, testowane odtwarzanie (bare metal + AD recovery).
  • Osobne poświadczenia i oddzielona sieć do backupu.
  1. Detekcja behawioralna pod destrukcję
  • Alerty na: gwałtowny wzrost operacji delete/rename, masowe modyfikacje w krótkim oknie czasu, niszczenie kopii zapasowych.
  • Korelacja zdarzeń na hostach pełniących role „przesiadkowe” między IT i OT.
  1. Ćwiczenia IR ukierunkowane na „wiper scenario”
  • Procedury: izolacja segmentów, odcięcie dystrybucji narzędzi, priorytety przywracania (najpierw tożsamość, potem łączność, potem aplikacje).

Różnice / porównania z innymi przypadkami

  • DynoWiper vs klasyczne ransomware: tu celem nie jest monetyzacja, tylko degradacja zdolności operacyjnej. To zmienia priorytety: najważniejsze są backupy i odtwarzanie, a nie negocjacje/odszyfrowywanie.
  • DynoWiper vs wcześniejsze operacje Sandworm: publicznie potwierdzony jest przede wszystkim „destrukcyjny DNA” Sandworm i jego historia kampanii o wysokim wpływie (MITRE opisuje m.in. NotPetya i ataki na energetykę). W przypadku DynoWiper na ten moment wiemy mniej o technikaliach, ale atrybucja ESET opiera się na zbieżnościach TTP z wcześniejszymi wiperami.

Podsumowanie / najważniejsze wnioski

DynoWiper jest kolejnym sygnałem, iż destrukcyjne operacje cybernetyczne nie są „historią z 2015 roku”, tylko realnym scenariuszem dla współczesnej energetyki – zwłaszcza w kontekście systemów hybrydowych łączących konwencjonalne źródła z OZE.

Najważniejsze na dziś:

  • traktuj wiper jako scenariusz „fast impact” (minuty–godziny),
  • inwestuj w odporność odtwarzania i segmentację,
  • buduj detekcję behawioralną pod masowe niszczenie danych,
  • ćwicz IR pod operacje destrukcyjne, nie tylko pod wycieki.

Źródła / bibliografia

  1. ESET Research – Sandworm behind cyberattack on Poland’s power grid in late 2025 (welivesecurity.com)
  2. The Hacker News – New DynoWiper Malware Used in Attempted Sandworm Attack on Polish Power Sector (The Hacker News)
  3. Reuters – raport o atrybucji i kontekście ataku (Reuters)
  4. TechCrunch – opis celu i kontekstu ataku (CHP + łączność OZE) (TechCrunch)
  5. MITRE ATT&CK – profil grupy Sandworm (G0034) (attack.mitre.org)
Idź do oryginalnego materiału
  1. Strona główna
  2. Ransomware
  3. DynoWiper: nowy wiper użyty w nieudanej próbie sabotażu polskiego sektora energii (Sandworm)

Powiązane

Nike bada możliwy incydent bezpieczeństwa. WorldLeaks grozi publikacją danych – co wiemy i jak reagować

Nike bada możliwy incydent bezpieczeństwa. WorldLeaks grozi ...

1 dzień temu
Cyberatak na Staatliche Kunstsammlungen Dresden (SKD): co wiemy o incydencie i jak ograniczać skutki podobnych ataków

Cyberatak na Staatliche Kunstsammlungen Dresden (SKD): co wi...

2 dni temu
INC Ransomware: błąd OpSec ujawnił infrastrukturę i pozwolił odzyskać dane 12 ofiar w USA

INC Ransomware: błąd OpSec ujawnił infrastrukturę i pozwolił...

3 dni temu
Nowy ransomware Osiris: BYOVD z użyciem sterownika POORTRY i ślady powiązań z INC

Nowy ransomware Osiris: BYOVD z użyciem sterownika POORTRY i...

3 dni temu
Trzy polskie firmy ofiarami ataków ransomware

Trzy polskie firmy ofiarami ataków ransomware

5 dni temu
42 tys. osób dotkniętych atakiem ransomware na Ingram Micro: co wiemy i jakie są konsekwencje dla łańcucha dostaw IT

42 tys. osób dotkniętych atakiem ransomware na Ingram Micro:...

6 dni temu
GootLoader wraca z „zepsutym” ZIP-em: 500–1000 sklejonych archiwów omija analizę i część kontroli bezpieczeństwa

GootLoader wraca z „zepsutym” ZIP-em: 500–1000 sklejonych ar...

1 tydzień temu
Domniemany lider Black Basta na liście EU Most Wanted i „Red Notice” INTERPOL — co wiemy i jak się bronić

Domniemany lider Black Basta na liście EU Most Wanted i „Red...

1 tydzień temu

Polecane

Przedstawiamy „Zdecentralizowany Model Energetyczny”- oparty na geotermii i fotowoltaice, prowadzący do samowystarczalności energetycznej Polski

Przedstawiamy „Zdecentralizowany Model Energetyczny”- oparty...

11 godzin temu
Czynsze w górę

Czynsze w górę

13 godzin temu
Cuda narracyjne

Cuda narracyjne

15 godzin temu
Samowystarczalne gminy i darmowy prąd dla mieszkańców

Samowystarczalne gminy i darmowy prąd dla mieszkańców

1 dzień temu
Prezes PSE: Nie chcemy uderzać w deweloperów OZE. Ale najwięksi z nich mają szafy pełne projektów, z których realnych jest może 10-20 proc.

Prezes PSE: Nie chcemy uderzać w deweloperów OZE. Ale najwię...

1 dzień temu
Kominek bezpieczeństwa

Kominek bezpieczeństwa

2 dni temu
Surowe kary za pompy ciepła. Z tego powodu wlepiają choćby 5 tysięcy złotych grzywny. Niektórzy nie mają o tym pojęcia

Surowe kary za pompy ciepła. Z tego powodu wlepiają choćby 5...

2 dni temu
Ponad pół wieku temu ruszyła gigantyczna inwestycja. Tak budowali serce polskiej energetyki

Ponad pół wieku temu ruszyła gigantyczna inwestycja. Tak bud...

2 dni temu
Surowe kary za pompy ciepła. To może być choćby 5 tysięcy złotych kary. O co chodzi?

Surowe kary za pompy ciepła. To może być choćby 5 tysięcy zł...

2 dni temu