Компания ESET – лидер в области информационной безопасности – обнаружила и проанализировала вредоносное программное обеспечение DynoWiper для уничтожения данных, нацеленное на энергетическую компанию в Польше. Тактика и методы злоумышленников во время атаки очень напоминают предыдущий случай, связанный с распространением в Украине вредоносной программы ZOV для уничтожения данных. Исследователи ESET относят DynoWiper к российской группе киберпреступников Sandworm.
Стоит отметить, что в 2025 году специалисты ESET расследовали более 10 инцидентов, связанных с разрушительным вредоносным программным обеспечением группы Sandworm, почти все из которых произошли в Украине.
29 декабря 2025 года образцы DynoWiper были развернуты в общем каталоге в домене жертвы. Возможно, злоумышленники Sandworm сначала протестировали работу на виртуальных машинах, прежде чем развернуть вредоносное программное обеспечение в организации. DynoWiper стирает файлы на всех переносных и стационарных дисках и, наконец, перезагружает систему, завершая ее уничтожение.
В отличие от других вредоносных программ Sandworm, в частности Industroyer и Industroyer2, недавно обнаруженные образцы DynoWiper сосредоточены исключительно на ИТ-среде, без обнаружения функционала, направленного на промышленные компоненты операционных технологий. Однако это не исключает вероятности использования таких возможностей в других частях атаки.
Исследователи ESET обнаружили несколько сходств с уже известным разрушительным вредоносным программным обеспечением, в частности с программой ZOV для уничтожения данных, которую ESET с высокой степенью уверенности приписывает Sandworm. ZOV – это разрушительное вредоносное программное обеспечение, которое было обнаружено во время атаки на финансовое учреждение в Украине в ноябре 2025 года. После запуска угроза ZOV перебирает файлы на всех стационарных дисках и стирает их, перезаписывая их содержимое. Еще один случай с угрозой ZOV произошел в энергетической компании в Украине 25 января 2024 года.
Что такое Sandworm
Sandworm – это связанная с Россией группа киберпреступников, которая осуществляет разрушительные атаки, направленные на широкий спектр организаций, в частности государственные учреждения, логистические компании, транспортные фирмы, энергопоставщиков, медиа-организации, компании зернового сектора и телекоммуникационные компании. Эти атаки обычно предусматривают развертывание вредоносного программного обеспечения для удаления файлов, стирания данных и вывода систем из строя.
Кроме Украины, группа киберпреступников имеет десятилетнюю историю атак на компании в Польше, в частности в энергетическом секторе. В октябре 2022 года она осуществила разрушительную атаку на логистические компании как в Украине, так и в Польше, замаскировав операцию под инцидент с программой-вымогателем Prestige. Поскольку большинство кибератак Sandworm в настоящее время направлены на Украину, компания ESET тесно сотрудничает с украинскими партнерами, в частности с Командой реагирования на компьютерные чрезвычайные события Украины (CERT-UA), для своевременного реагирования и предотвращения подобных атак.
