Investigadores de ESET han reportado el hallazgo de un nuevo malware de destrucción de datos, denominado DynoWiper, utilizado en un ataque contra una empresa de energía en Polonia. Este incidente se sumó a otras operaciones similares, donde los métodos y técnicas empleados en DynoWiper se asemejan a los del malware ZOV utilizado anteriormente en Ucrania, lo que sugiere una posible conexión con el grupo de amenazas Sandworm, conocido por su alineación con intereses rusos.
Los ataques de Sandworm, que han estado activos en el sector energético de Europa del Este, han causado daños significativos, incluidas interrupciones en el suministro eléctrico en Ucrania durante años anteriores. La campaña más reciente en Polonia destaca un cambio en la táctica del grupo, que ha evolucionado desde ciberespionaje hacia operaciones más destructivas.
La investigación revela que en diciembre de 2025, DynoWiper se instaló en un directorio compartido dentro de la red objetivo utilizando nombres de archivo específicos. A pesar de intentos de ejecución del wiper, la solución de ESET PROTECT bloqueó la ejecución, limitando el impacto del ataque. Los investigadores describen que DynoWiper opera en tres fases, abarcando desde la eliminación de archivos en distintas unidades hasta el reinicio del sistema para completar el proceso destructivo.
Además, el análisis también muestra similitudes notables entre DynoWiper y el wiper ZOV, en cuanto a la exclusión de ciertos directorios y a los métodos empleados para la eliminación de datos. Esta coincidencia ha llevado a la investigación hacia la atribución del malware a Sandworm con una confianza media, dado que el grupo ha sido vinculado a varias campañas destructivas previas.
El uso de técnicas de control de acceso, especialmente a través de políticas de Active Directory, es un patrón constante en las actividades de Sandworm, lo que resalta su sofisticación y capacidad para infiltrarse en redes complejas. Los ataques realizados por este grupo han utilizado una variedad de malware, siendo DynoWiper el más reciente en una lista que incluye otros nombres infames.
Dada la seriedad de estos descubrimientos, es crucial que las organizaciones de infraestructura crítica, no solo en Polonia, sino en toda Europa, intensifiquen sus protocolos de ciberseguridad para protegerse frente a la creciente amenaza de ataques destructivos por parte de actores estatales.
Fuente: WeLiveSecurity by eSet.
