Дослідження ESET виявило, що російська група Sandworm здійснила атаку на енергетичну компанію в Польщі.
Компанія ESET, яка займає провідні позиції в сфері інформаційної безпеки, виявила та провела аналіз шкідливого програмного забезпечення під назвою DynoWiper, призначеного для знищення даних, що атакувало енергетичну компанію в Польщі. Тактики і методи, які використовували зловмисники під час цієї атаки, мають багато спільного з попереднім інцидентом, пов'язаним із розповсюдженням в Україні шкідливого ПЗ ZOV для знищення даних. Фахівці ESET пов'язують DynoWiper з російською хакерською групою Sandworm.
Важливо підкреслити, що у 2025 році експерти ESET провели розслідування понад 10 випадків, пов'язаних із руйнівними шкідливими програмами групи Sandworm, більшість з яких мали місце в Україні.
29 грудня 2025 року в спільному каталозі домену жертви були виявлені зразки шкідливого програмного забезпечення DynoWiper. Існує ймовірність, що зловмисники з групи Sandworm спочатку протестували його функціонування на віртуальних машинах, перш ніж запустити атаку на організацію. DynoWiper має здатність видаляти файли з усіх типів дисків — як зовнішніх, так і внутрішніх, і зрештою перезавантажує систему, завершуючи процес знищення даних.
На відміну від інших шкідливих програм, таких як Sandworm, зокрема Industroyer та Industroyer2, нещодавно виявлені зразки DynoWiper орієнтуються виключно на ІТ-системи, не демонструючи функцій, які б взаємодіяли з промисловими компонентами операційних технологій. Проте це не означає, що можливість їх використання в інших етапах атаки виключена.
Дослідники компанії ESET виявили ряд схожостей між новим шкідливим програмним забезпеченням і вже відомим небезпечним інструментом ZOV, який ESET з великою впевненістю пов'язує з групою Sandworm. ZOV є руйнівним шкідливим програмним забезпеченням, що було зафіксовано під час кібератаки на фінансову установу в Україні в листопаді 2025 року. Після активації ZOV сканує всі файли на жорстких дисках та видаляє їх, перезаписуючи інформацію. Ще один інцидент, пов'язаний із загрозою ZOV, стався в енергетичній компанії в Україні 25 січня 2024 року.
Sandworm - це кіберзлочинна група, що має зв'язки з Росією, яка проводить руйнівні кібератаки на різноманітні організації, включаючи урядові установи, компанії в сфері логістики, транспортні фірми, енергетичні компанії, медіа-структури, аграрні підприємства та телекомунікаційні компанії. Ці атаки зазвичай здійснюються шляхом впровадження шкідливого програмного забезпечення, яке призводить до видалення файлів, знищення даних і виходу систем з ладу.
Крім України, група кіберзлочинців має десятирічну історію атак на компанії в Польщі, зокрема в енергетичному секторі. У жовтні 2022 року вона здійснила руйнівну атаку на логістичні компанії як в Україні, так і в Польщі, замаскувавши операцію під інцидент із програмою-вимагачем Prestige. Оскільки більшість кібератак Sandworm наразі спрямовані на Україну, компанія ESET тісно співпрацює з українськими партнерами, зокрема з Командою реагування на комп'ютерні надзвичайні події України (CERT-UA), для вчасного реагування та запобігання подібним атакам.
