• Jak przestawia w swoim raporcie CERT Polska, 29 grudnia 2025 roku w godzinach porannych oraz popołudniowych doszło do skoordynowanych ataków w polskiej cyberprzestrzeni. Były one wymierzone w farmy wiatrowe i fotowoltaiczne, spółkę prywatną z sektora produkcyjnego oraz w dużą elektrociepłownię. ESET przedstawia raport, w którym analizuje atak na elektrociepłownię.
• Analitycy ESET zidentyfikowali nowy malware typu wiper, któremu nadano nazwę DynoWiper. Został on wykorzystany w ataku wymierzonym w przedsiębiorstwo energetyczne w Polsce.
• Taktyki, techniki i procedury (TTP) zaobserwowane podczas incydentu z użyciem DynoWipera wykazują bliskie podobieństwo do tych odnotowanych wcześniej w Ukrainie przy okazji operacji z użyciem innego wipera – ZOV.
• ESET Research przypisuje DynoWipera powiązanej z Rosją grupie Sandworm z umiarkowanym poziomem pewności (medium confidence).
• Incydent ten stanowi rzadki i dotychczas nieopisywany przypadek, w którym powiązany z Rosją podmiot przeprowadził operację z użyciem malware’u typu wiper przeciwko firmie z sektora energetycznego w Polsce.
Analitycy ESET zidentyfikowali nowy malware typu wiper, któremu nadano nazwę DynoWiper. Oprogramowanie to zostało wykorzystane przeciwko przedsiębiorstwu z sektora energetycznego w Polsce. Taktyki, techniki i procedury (TTP) zaobserwowane podczas incydentu z użyciem DynoWipera wykazują bliskie podobieństwo do wcześniejszej operacji przeprowadzonej w Ukrainie z wykorzystaniem wipera ZOV (Z, O oraz V to symbole rosyjskiej armii). ESET Research przypisuje DynoWipera powiązanej z Rosją grupie Sandworm z umiarkowanym poziomem pewności (medium confidence).
Opisywany incydent to rzadki i dotychczas nieudokumentowany przypadek, w którym powiązany z Rosją podmiot wykorzystał malware typu wiper przeciwko przedsiębiorstwu energetycznemu w Polsce. W 2025 roku analitycy ESET badali ponad 10 incydentów z użyciem oprogramowania o charakterze niszczącym przypisywanego grupie Sandworm, z których niemal wszystkie miały miejsce w Ukrainie.
Zainstalowane w infrastrukturze rozwiązanie EDR/XDR – ESET PROTECT – zablokowało uruchomienie wipera, co znacząco ograniczyło skutki ataku w środowisku ofiary. Zespół CERT Polska przeprowadził rzetelne dochodzenie w sprawie tego incydentu i opublikował szczegółową analizę w raporcie dostępnym na swojej stronie internetowej.
29 grudnia 2025 roku próbki DynoWipera zostały umieszczone w folderze będącym prawdopodobnie zasobem udostępnionym w domenie ofiary. Możliwe, że operatorzy grupy Sandworm najpierw przetestowali operację na maszynach wirtualnych, zanim zdecydowali się na użycie malware’u w organizacji będącej celem ataku. Próbowano zainstalować trzy różne próbki i wszystkie te próby zakończyły się niepowodzeniem. Wiper nadpisuje pliki za pomocą 16-bajtowego bufora zawierającego losowe dane, generowane jednorazowo przy uruchomieniu oprogramowania. Na niezabezpieczonej maszynie pliki o rozmiarze 16 bajtów lub mniejsze są nadpisywane w całości. Aby przyspieszyć proces niszczenia danych, w plikach większych niż 16 bajtów nadpisywane są tylko niektóre fragmenty ich zawartości. DynoWiper czyści dane na wszystkich dyskach wymiennych i stałych, a na koniec wymusza restart systemu, co finalizuje proces destrukcji środowiska.
W przeciwieństwie do innych rodzajów malware’u grupy Sandworm, takich jak Industroyer czy Industroyer2, nowo odkryte próbki DynoWipera koncentrują się wyłącznie na środowisku IT. Nie zaobserwowano w nich funkcjonalności wymierzonych w komponenty przemysłowe technologii operacyjnej (OT). Nie wyklucza to jednak możliwości, że tego typu zdolności były obecne w innym miejscu łańcucha ataku.
Analitycy ESET Research zidentyfikowali szereg podobieństw do znanych wcześniej rodzajów malware’u o charakterze niszczącym, a w szczególności do wipera ZOV, którego ESET z wysokim poziomem pewności (high confidence) przypisuje grupie Sandworm. DynoWiper działa w sposób zbliżony do wipera ZOV. Na szczególną uwagę zasługuje fakt, że wykluczenia niektórych katalogów, a zwłaszcza wyraźnie oddzielona logika nadpisywania mniejszych i większych plików, są cechami obecnymi również w kodzie wipera ZOV.
ZOV to malware niszczący dane, którego użycie wykryto w listopadzie 2025 roku podczas ataku na instytucję finansową w Ukrainie. Po uruchomieniu wiper ZOV przeszukuje pliki na wszystkich dyskach stałych i niszczy je poprzez nadpisywanie ich zawartości. Inny przypadek użycia wipera ZOV odnotowano w ukraińskiej spółce energetycznej, gdzie atakujący uruchomili to oprogramowanie 25 stycznia 2024 roku.
Sandworm to powiązana z Rosją grupa APT przeprowadzająca operacje niszczące, wymierzone w szerokie spektrum podmiotów, w tym agencje rządowe, firmy logistyczne i transportowe, dostawców energii, organizacje medialne, przedsiębiorstwa z sektora zbożowego oraz operatorów telekomunikacyjnych. Ataki te zazwyczaj wiążą się z użyciem wiperów – malware’u zaprojektowanego do usuwania plików i danych oraz doprowadzania systemów do stanu uniemożliwiającego ich rozruch.
Poza Ukrainą, grupa ta od dekady bierze na cel firmy w Polsce, w tym podmioty z sektora energetycznego. W październiku 2022 roku przeprowadziła ona operację niszczącą wymierzoną w przedsiębiorstwa logistyczne w Ukrainie i Polsce, maskując swoje działania pod pozorem incydentu z użyciem ransomware Prestige. Ponieważ obecnie większość cyberataków grupy Sandworm koncentruje się na Ukrainie, analitycy ESET ściśle współpracują z ukraińskimi partnerami, w tym z zespołem CERT-UA, wspierając działania w zakresie prewencji oraz usuwania skutków incydentów.