Компанія ESET виявила та проаналізувала шкідливе програмне забезпечення DynoWiper для знищення даних, націлене на енергетичну компанію в Польщі. Тактика та методи зловмисників під час атаки дуже нагадують попередній випадок, пов’язаний з поширенням в Україні шкідливої програми ZOV для знищення даних. Дослідники ESET відносять DynoWiper до російської групи кіберзлочинців Sandworm.
Варто зазначити, що у 2025 році спеціалісти ESET розслідували понад 10 інцидентів, пов’язаних з руйнівним шкідливим програмним забезпеченням групи Sandworm, майже всі з яких сталися в Україні.
29 грудня 2025 року зразки DynoWiper були розгорнуті у спільному каталозі в домені жертви. Можливо, зловмисники Sandworm спочатку протестували роботу на віртуальних машинах, перш ніж розгорнути шкідливе програмне забезпечення в організації. DynoWiper стирає файли на всіх змінних та стаціонарних дисках і, нарешті, перезавантажує систему, завершуючи її знищення.
На відміну від інших шкідливих програм Sandworm, зокрема Industroyer та Industroyer2, нещодавно виявлені зразки DynoWiper зосереджені виключно на ІТ-середовищі, без виявлення функціоналу, спрямованої на промислові компоненти операційних технологій. Однак це не виключає ймовірності використання таких можливостей в інших частинах атаки.
Дослідники ESET виявили кілька подібностей з уже відомим руйнівним шкідливим програмним забезпеченням, зокрема з програмою ZOV для знищення даних, яку ESET з високою впевненістю приписує Sandworm. ZOV – це руйнівне шкідливе програмне забезпечення, яке було виявлено під час атаки на фінансову установу в Україні в листопаді 2025 року. Після запуску загроза ZOV перебирає файли на всіх стаціонарних дисках та стирає їх, перезаписуючи їхній вміст. Ще один випадок зі загрозою ZOV стався в енергетичній компанії в Україні 25 січня 2024 року.
Що таке Sandworm
Sandworm – це пов’язана з росією група кіберзлочинців, яка здійснює руйнівні атаки, спрямовані на широкий спектр організацій, зокрема державні установи, логістичні компанії, транспортні фірми, енергопостачальників, медіа-організації, компанії зернового сектору та телекомунікаційні компанії. Ці атаки зазвичай передбачають розгортання шкідливого програмного забезпечення для видалення файлів, стирання даних та виведення систем з ладу.
Крім України, група кіберзлочинців має десятирічну історію атак на компанії в Польщі, зокрема в енергетичному секторі. У жовтні 2022 року вона здійснила руйнівну атаку на логістичні компанії як в Україні, так і в Польщі, замаскувавши операцію під інцидент із програмою-вимагачем Prestige. Оскільки більшість кібератак Sandworm наразі спрямовані на Україну, компанія ESET тісно співпрацює з українськими партнерами, зокрема з Командою реагування на комп’ютерні надзвичайні події України (CERT-UA), для вчасного реагування та запобігання подібним атакам.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою [email protected].
