Ένα νέο και ιδιαίτερα επικίνδυνο κακόβουλο λογισμικό με την ονομασία DynoWiper έκανε την εμφάνισή του, στοχεύοντας ενεργειακές εταιρείες στην Πολωνία με επιθέσεις σχεδιασμένες να διαγράφουν μόνιμα κρίσιμα δεδομένα και να καθιστούν τα συστήματα μη λειτουργικά.
Η εμφάνιση του DynoWiper
Το DynoWiper εντοπίστηκε για πρώτη φορά τον Δεκέμβριο του 2025, όταν ερευνητές κυβερνοασφάλειας ανίχνευσαν την ανάπτυξή του σε πολωνική εταιρεία ενέργειας. Σε αντίθεση με το κλασικό ransomware που κρυπτογραφεί αρχεία για οικονομικό όφελος, το DynoWiper έχει έναν και μόνο σκοπό: να καταστρέψει δεδομένα, καθιστώντας τα συστήματα εντελώς μη εκκινήσιμα. Η επίθεση θεωρείται ανησυχητική κλιμάκωση των κυβερνοαπειλών κατά κρίσιμων υποδομών.
Παραλλαγές και αποτυχημένες προσπάθειες εκτέλεσης
Το malware διανεμήθηκε μέσω πολλαπλών παραλλαγών, όπως αρχεία με ονόματα schtask.exe, schtask2.exe και ένα εκτελέσιμο αρχείο ενημέρωσης, τα οποία κυκλοφόρησαν στις 29 Δεκεμβρίου 2025. Οι δράστες προσπάθησαν επανειλημμένα να το εκτελέσουν, τροποποιώντας κάθε φορά τον κώδικα για να παρακάμψουν τα συστήματα ασφαλείας. Ωστόσο, το εγκατεστημένο σύστημα endpoint detection and response μπλόκαρε την εκτέλεση, περιορίζοντας σημαντικά τη ζημιά.
Σύνδεση με προηγούμενες επιθέσεις
Αναλυτές της Welivesecurity εντόπισαν έντονες ομοιότητες μεταξύ του DynoWiper και ενός παλαιότερου wiper με την ονομασία ZOV, ο οποίος είχε χρησιμοποιηθεί σε επιθέσεις κατά ουκρανικών στόχων. Η ερευνητική ομάδα απέδωσε το DynoWiper στη Sandworm, μια φιλορωσική ομάδα κυβερνοαπειλών γνωστή για καταστροφικές επιθέσεις εναντίον ενεργειακών εταιρειών. Η Sandworm συνδέεται συχνά με τη Μονάδα 74455 της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU και έχει μακρά ιστορία επιθέσεων σε κρίσιμες υποδομές στην ανατολική Ευρώπη.
Ο μηχανισμός καταστροφής των δεδομένων
Το DynoWiper λειτουργεί μέσω μιας υπολογισμένης διαδικασίας καταστροφής τριών φάσεων. Στην πρώτη φάση, αναζητά αναδρομικά αρχεία σε όλους τους σταθερούς και αφαιρούμενους δίσκους, εξαιρώντας συγκεκριμένους καταλόγους συστήματος ώστε να διατηρεί προσωρινά τη λειτουργικότητα. Χρησιμοποιεί έναν τυχαίο buffer 16 bytes για να αντικαθιστά τα περιεχόμενα των αρχείων. Αρχεία μικρότερα των 16 bytes καταστρέφονται πλήρως, ενώ σε μεγαλύτερα αρχεία καταστρέφονται τμήματα του περιεχομένου για ταχύτερη ολοκλήρωση της επίθεσης.
Διάδοση μέσω Active Directory
Ο μηχανισμός μόλυνσης του DynoWiper δείχνει υψηλό επίπεδο τεχνικής κατάρτισης. Οι επιτιθέμενοι εκμεταλλεύτηκαν το Active Directory Group Policy για να διανείμουν το malware σε ολόκληρο το παραβιασμένο δίκτυο. Η μέθοδος αυτή απαιτεί δικαιώματα Domain Admin, γεγονός που υπογραμμίζει την ικανότητα της ομάδας να αποκτά υψηλού επιπέδου πρόσβαση. Το malware τοποθετήθηκε σε κοινόχρηστο φάκελο δικτύου, επιτρέποντας την ταυτόχρονη εκτέλεσή του σε πολλά μηχανήματα.
Προετοιμασία πριν την τελική επίθεση
Πριν από την ανάπτυξη του wiper, οι δράστες χρησιμοποίησαν εργαλεία κλοπής διαπιστευτηρίων όπως το Rubeus και προσπάθησαν να εξαγάγουν τη μνήμη της διεργασίας LSASS μέσω του Windows Task Manager. Παράλληλα, εγκατέστησαν έναν SOCKS5 proxy με την ονομασία rsocx για τη δημιουργία αντίστροφων συνδέσεων με εξωτερικούς διακομιστές. Η πολυεπίπεδη αυτή προσέγγιση δείχνει προσεκτικό σχεδιασμό και εκτενή αναγνώριση πριν την ενεργοποίηση του τελικού καταστροφικού φορτίου.
Μέτρα προστασίας για τον ενεργειακό τομέα
Οι οργανισμοί στον τομέα της ενέργειας καλούνται να εφαρμόσουν αυστηρούς ελέγχους πρόσβασης, τμηματοποίηση δικτύου και συνεχή παρακολούθηση, ώστε να εντοπίζουν έγκαιρα τέτοιου είδους εξελιγμένες επιθέσεις πριν την ανάπτυξη καταστροφικών wipers.
