Una nuova analisi tecnica ricostruisce l’attacco con DynoWiper contro un’azienda energetica in Polonia, collegandolo alla lunga scia di operazioni distruttive riconducibili a Sandworm.
Autore: Redazione SecurityOpenLab
Alla fine di dicembre 2025, un’azienda del settore energetico polacco è stata bersaglio di un’operazione distruttiva mirata ai sistemi IT. L’arma usata è stato il wiper DynoWiper; fortunatamente l’attacco è stato intercettato prima che causasse un blackout, come avvenne invece in Ucraina per mano russa a dicembre 2015. Gli analisti di ESET hanno condotto un’analisi approfondita da cui emerge un livello di preparazione elevato degli attaccanti: la catena di attacco include più varianti di DynoWiper distribuite in rapida successione e un uso esteso di strumenti legittimi per i movimenti laterali.
DynoWiper è attribuito al noto threat actor russo Sandworm sulla base delle tattiche, tecniche e procedure osservate nell’attacco, che mostrano una forte sovrapposizione con le campagne distruttive condotte in passato in Ucraina contro enti governativi, logistica ed energia. Questo gruppo, allineato al GRU (l’unità di intelligence militare strategica russa) è ritenuto responsabile dei blackout ucraini del 2015‑2016 citati sopra, oltre che di altre operazioni contro infrastrutture europee.
Le attività legate a DynoWiper sono ricondotte al 29 dicembre 2025, quando tre eseguibili sono stati copiati in una directory condivisa del dominio con i nomi update.exe, schtask.exe e schtask2.exe. Le diverse build mostrano una sequenza di tentativi: inizialmente una variante completa articolata in tre fasi, seguita da due versioni schtask*.exe con logica ridotta e piccole modifiche al codice, probabilmente per aggirare i controlli di sicurezza dopo i primi insuccessi. Su tutte le macchine target era presente una soluzione EDR/XDR che ha bloccato l’esecuzione, limitando sensibilmente l’impatto dell’operazione.
Tecnicamente, DynoWiper è progettato per massimizzare la distruzione in tempi rapidi, mantenendo il codice quanto più semplice possibile. Il malware sovrascrive i file usando un buffer di 16 byte di dati casuali generato all’avvio: i file fino a 16 byte vengono completamente riscritti, mentre quelli più grandi vengono danneggiati solo in porzioni selezionate, con l’obiettivo di rendere irrecuperabili i contenuti senza doverli sovrascrivere per intero. L’esecuzione è articolata in più fasi: una prima passata colpisce in modo ricorsivo i file su unità fisse e rimovibili, escludendo alcune directory di sistema; una seconda tornata riduce progressivamente queste esclusioni e, nella variante più aggressiva, si traduce nella cancellazione indiscriminata di file e directory tramite API di sistema, seguita da un riavvio forzato della macchina.
Un aspetto interessante dell’analisi di ESET riguarda gli strumenti usati a corredo del wiper. Prima della fase distruttiva, gli operatori hanno provato a usare tool pubblici per rubare credenziali di accesso e instradare il traffico verso un server esterno compromesso. A dicembre 2025 sono stati registrati anche tentativi di estrarre le password direttamente dalla memoria di sistema, segno che il furto di credenziali e il controllo dei sistemi del dominio sono tuttora elementi centrali della catena di attacco.
Per distribuire il malware, Sandworm ha adottato il suo schema ormai consolidato basato sull’abuso delle Group Policy di Active Directory. L’indagine ha individuato uno script PowerShell dedicato alla creazione e configurazione di un GPO ad hoc, con variabili specifiche per il dominio della vittima, il controller di dominio, il percorso del file e il task pianificato incaricato di eseguirlo: è lo stesso modello già osservato in precedenza. Una volta ottenuti privilegi di Domain Admin, l’attaccante ha potuto recapitare il wiper a tutte le macchine del dominio ed eseguirlo tramite condivisioni di rete, rendendo estremamente difficile bloccare l’operazione in tempo utile.
Sul fronte operativo, ESET sottolinea che DynoWiper prende di mira esclusivamente l’ambiente IT: non sono state osservate funzioni specifiche per componenti OT o protocolli industriali. Questo non esclude la presenza di altre componenti dedicate nella catena d’attacco, ma chiarisce che l’obiettivo primario erano i sistemi Windows, la cui compromissione può comunque avere un impatto significativo sull’erogazione dei servizi.
Per le aziende del settore energia e, più in generale, per le infrastrutture critiche europee, il caso DynoWiper ricorda quanto sia essenziale monitorare in modo rigoroso l’uso delle Group Policy e degli strumenti di amministrazione di dominio. A questo si affianca la necessità di strumenti di rilevazione proattiva capaci di intercettare in anticipo script PowerShell e altre attività anomale riconducibili alle TTP di questo attore. Infine, il report mette in guardia dal considerare i wiper una minaccia confinata alle zone di guerra o a scenari eccezionali: un attore con pieno accesso al dominio può orchestrare un attacco distruttivo in tempi molto rapidi, sfruttando solo funzionalità standard di Windows e poche decine di kilobyte di codice dedicato.