- De ce sunt programele de tip „wiper” arma preferată în atacurile de tip OT?
- Ghidul în patru etape utilizat de malware-ul de tip Wiper
- Cum arată atacurile de tip „wiper” din lumea reală în mediile OT?
- De ce fiecare atac de tip „wiper” începe cu o fișier care traversează o graniță de încredere?
- Cel mai recent atac cibernetic asupra sectorului energetic din Venezuela
- Mostre și indicatori de ștergătoare menționați în prezenta analiză
- Opriți atacurile de tip „wiper” înainte ca acestea să se execute
În articolul nostru anterior, am analizat principalele atacuri cibernetice asupra sistemelor ICS și OT din perioada 2024 – începutul anului 2026. S-a evidențiat o tendință clară: programele de ștergere a datelor („wiper”) au devenit arma preferată a actorilor susținuți de state care vizează mediile de tehnologie operațională. Șase campanii distincte de tip „wiper” au afectat sectoarele industriale în perioada 2024–2025, inclusiv rețelele electrice, sistemele de alimentare cu apă, sectorul medical și industria prelucrătoare din întreaga lume.
Acest articol analizează în detaliu această tendință. El explică de ce programele de tip „wiper” sunt eficiente în mediile OT, analizează trei incidente reale și identifică modelul de atac recurent care stă la baza acestora. În timp ce scriam acest articol, a apărut un alt exemplu. O amenințare recent semnalată, Lotus Wiper, a vizat sectorul energetic din Venezuela. Acest caz este inclus în secțiunea finală.
De ce sunt programele de tip „wiper” arma preferată în atacurile de tip OT?
Programele de ștergere a datelor sunt concepute pentru a distruge datele, ceea ce le diferențiază fundamental de ransomware. Deoarece nu permit șantajul, acestea nu constituie un instrument util pentru actorii răuvoitori motivați exclusiv de câștigul financiar. În schimb, ele sunt extrem de eficiente pentru actorii al căror obiectiv este să provoace perturbări sau daune, în special atunci când urmăresc să transforme operațiunile cibernetice în efecte concrete în lumea reală, păstrându-și în același timp un grad ridicat de anonimat. Din acest motiv, programele de ștergere a datelor sunt asociate în mod obișnuit cu activități sponsorizate de stat.
În mediile IT tradiționale, programele de ștergere distrug în primul rând fișierele. Deși acest lucru poate provoca perturbări majore, impactul este adesea remediabil dacă există copii de rezervă fiabile. Cu toate acestea, situația este diferită în mediile OT și ICS. Sistemele precum serverele SCADA, stațiile de lucru de inginerie și afișajele HMI nu se limitează la stocarea datelor. Acestea controlează și monitorizează activ procesele fizice. Atunci când datele de pe aceste sisteme sunt distruse, operatorii pierd vizibilitatea și controlul asupra operațiunilor, devenind practic orbi la ceea ce se întâmplă pe teren.
În acest context, programele de ștergere a datelor devin deosebit de periculoase. Ele pot face legătura între atacurile cibernetice și consecințele fizice. Datorită acestei capacități, actorii susținuți de stat recurg frecvent la astfel de programe. Utilizarea lor este adesea observată în regiuni afectate de conflicte armate sau de tensiuni geopolitice accentuate, unde principalul obiectiv este provocarea de perturbări.
Ghidul în patru etape utilizat de malware-ul de tip Wiper
Fiecare program de tip „wiper” analizat, indiferent de limbaj, platformă sau complexitate, urmează același model de bază. Înțelegerea acestor etape constituie un punct de plecare practic pentru apărarea împotriva atacurilor de tip „wiper”.
Faza 1: Inițializare
Programul de ștergere pregătește încărcătura de corupție, generând de obicei date pseudoaleatorii cu ajutorul unui generator obișnuit de numere aleatorii. Datele aleatorii îngreunează recuperarea criminalistică mai mult decât suprascrierea cu zerouri.
Etapa 2: Descoperire
Programul de ștergere inventariază toate elementele pe care le poate șterge, enumerând unitățile de stocare, volumele, directoarele și fișierele.
Etapa 3: Distrugerea
Programul de ștergere deschide fiecare fișier, elimină atributele de protecție și îl suprascrie cu date aleatorii. Unele programe șterg fișierele și după aceea. Altele vizează Master Boot Record (MBR) sau Master File Table (MFT), făcând întregul disc ilizibil.
Etapa 4: Anti-recuperare
O repornire forțată consolidează daunele. Programul de ștergere își extinde privilegiile, obține drepturi de oprire și repornește sistemul. Când și dacă sistemul pornește din nou, nu mai rămâne nimic de recuperat.
Secțiunea următoare prezintă aplicarea acestui ghid în cazul unor incidente reale.
Cum arată atacurile de tip „wiper” din lumea reală în mediile OT?
DynoWiper — Rețeaua electrică a Poloniei
Actor: Sandworm/ELECTRUM (GRU)
Țintă: Polonia, sectorul energetic (resurse energetice distribuite)
Mod de livrare: fișier executabil Windows (binar PE) transmis prin intermediul unei rețele compromise
În decembrie 2025, Sandworm, cea mai performantă unitate a GRU specializată în sisteme de control industrial (ICS), a lansat un atac asupra infrastructurii electrice a Poloniei folosind DynoWiper. Potrivit Dragos, acesta a fost primul atac cibernetic coordonat la scară largă care a vizat resursele energetice distribuite (DER).
Au fost afectate aproximativ 30 de amplasamente, printre care centrale de cogenerare, parcuri eoliene și sisteme de distribuție a energiei solare. Spre deosebire de atacurile anterioare, care vizau centralele electrice centralizate, această operațiune a avut ca țintă instalații mai mici și distribuite, care se extind rapid pe piețele moderne de energie. De asemenea, aceste medii sunt, de obicei, mai puțin protejate.
Atacul ar fi putut afecta până la 500.000 de locuitori. Prim-ministrul Poloniei a declarat că rețeaua de transport a energiei electrice nu a fost pusă în pericol, însă atacatorii au pătruns în sistemele OT și au dezactivat definitiv anumite echipamente. DynoWiper a urmat cu strictețe planul de atac în patru etape: generarea unei sarcini utile pseudoaleatorii, enumerarea unităților de stocare, suprascrierea fișierelor și repornirea forțată a sistemului. Acesta s-a executat sub forma unui fișier binar compilat, conceput pentru distrugerea sistematică.
PathWiper — Infrastructura critică a Ucrainei
Actor: Russia-nexus (unitate nespecificată)
Țintă: Ucraina, infrastructură critică (mai multe sectoare)
Mod de livrare: un dropper VBScript asociat cu un fișier executabil
PathWiper a fost utilizat împotriva infrastructurii critice ucrainene de către un actor cu legături în Rusia, în cadrul unei campanii cibernetice desfășurate în timpul războiului. În timp ce DynoWiper a vizat un sector specific, PathWiper a vizat infrastructura critică într-un mod mai general, afectând mai multe servicii esențiale în timpul conflictului activ.
Ceea ce îl diferențiază este gradul de distrugere. PathWiper nu se limitează la a suprascrie fișierele. Acesta distruge spațiul de stocare local la nivel de volum. Într-un conflict armat, ștergerea sistemelor care gestionează serviciile esențiale are consecințe care depășesc simpla pierdere a datelor.
Se aplică aceleași patru etape, însă PathWiper duce faza de distrugere mai departe decât majoritatea programelor. Prin faptul că vizează spațiul de stocare la nivel de volum, în loc de fișiere individuale, programul garantează că chiar și o recuperare criminalistică parțială este practic imposibilă. Scopul este ștergerea totală, nu doar a datelor, ci și a capacității sistemului de a funcționa.
LazyWiper — Sectorul manufacturier din Polonia
Actor: Sandworm/ELECTRUM (GRU)
Țintă: Polonia, sectorul producției
Mod de livrare: script PowerShell distribuit prin intermediul obiectelor de politică de grup (GPO)
LazyWiper nu a fost o campanie separată. Aceasta a avut loc în aceeași zi cu DynoWiper, pe 29 decembrie 2025, ca parte a aceleiași operațiuni coordonate. Cu toate acestea, a vizat o companie din sectorul producției, iar CERT Polska a evaluat-o ca fiind de natură oportunistă. Atacatorii au identificat un punct de acces vulnerabil și l-au exploatat.
Punctul de intrare a fost un dispozitiv Fortinet a cărui configurație fusese furată și publicată pe un forum criminal. Atacatorii au folosit datele de autentificare divulgate pentru a stabili accesul persistent, au avansat lateral către privilegiile de administrator de domeniu și au distribuit LazyWiper pe fiecare mașină prin GPO. Spre deosebire de binarul compilat al DynoWiper, LazyWiper este un script PowerShell. Acesta dezactivează Defender, folosește instrumentele de gestionare Windows încorporate pentru a mapa toate unitățile, redenumește fișierele cu nume aleatorii de patru caractere și le suprascrie cu date pseudo-aleatorii.
Un detaliu face ca acest caz să fie deosebit de remarcabil. CERT Polska a concluzionat că anumite părți ale codului de ștergere a fișierelor au fost probabil generate de un model lingvistic de mari dimensiuni, ceea ce indică dezvoltarea de malware asistată de IA în mediul real. Dacă specialiștii în securitate presupun că programele de ștergere a datelor vor apărea întotdeauna sub forma unui malware compilat tradițional, LazyWiper subliniază necesitatea de a lua în considerare amenințările bazate pe scripturi și generate dinamic.
De ce fiecare atac de tip „wiper” începe cu o fișier care traversează o graniță de încredere?
Fiecare incident descris în acest blog, precum și fiecare incident menționat în raportul anterior privind peisajul amenințărilor, au o caracteristică comună: un fișier a încălcat o barieră de securitate. Formatele și metodele de transmitere diferă, dar modelul este același.
- DynoWiper: fișier executabil Windows distribuit prin intermediul unei rețele compromise
- PathWiper: un program de distribuire VBScript asociat cu un fișier executabil
- LazyWiper: script PowerShell distribuit prin GPO
Adaptive Sandbox OPSWATSandbox fiecare fișier la fiecare graniță de încredere înainte ca acesta să ajungă la stația de lucru a inginerilor, înainte de a interacționa cu sistemul SCADA și înainte de a trece din domeniul IT în cel OT. Acesta nu se bazează pe observarea comportamentului distructiv. În schimb, identifică capacitățile maligne într-un mediu controlat înainte ca fișierul să fie considerat de încredere.
Dacă activați în sectoarele energiei, apei, producției, sănătății sau administrației publice, atunci atacatorii fac parte din modelul dumneavoastră de amenințări, indiferent dacă sunt luați în considerare în mod explicit sau nu.
Programele de ștergere vor evolua, adoptând noi limbaje de programare, metode de livrare și ținte, dar modelul de funcționare rămâne același. Un fișier trebuie să ajungă la destinație, să fie preluat de un sistem și să fie executat. Acest lucru a rămas valabil de la Stuxnet în 2010 până la DynoWiper în 2025. Verificarea fișierului înainte ca acesta să treacă de graniță este o măsură de control aplicabilă tuturor programelor de ștergere, actorilor și sectoarelor.
Cel mai recent atac cibernetic asupra sectorului energetic din Venezuela
În timp ce acest articol era în curs de finalizare, pe 21 aprilie, echipa Kaspersky GReAT a semnalat existența unui program de ștergere a datelor necunoscut până atunci, numit Lotus Wiper, care viza sectorul energetic și al utilităților din Venezuela.
Atacul este metodic. Două scripturi batch izolează mai întâi sistemul prin dezactivarea serviciilor, oprirea interfețelor de rețea și deconectarea sesiunilor. Apoi șterg volumele de pe disc, suprascriu folderele și umplu spațiul de stocare rămas. Abia după parcurgerea acestor etape se execută încărcătura finală.
Programul de ștergere a datelor se prezintă ca o componentă legitimă a unui software de întreprindere, fiind livrat în format criptat și decriptat în timpul rulării. Odată activat, sistemul nu mai poate fi pornit, iar datele nu mai pot fi recuperate. Nu există nicio cerere de răscumpărare și niciun indiciu de sustragere a datelor în scopul obținerii de profit. La fel ca și celelalte programe de ștergere a datelor discutate în acest articol, Lotus Wiper este conceput exclusiv pentru distrugere.
Același tipar se repetă în timp real. Un fișier trece de o barieră de securitate, se execută și distruge tot ce poate atinge. Verificarea la nivel de fișier înainte de decriptarea conținutului reprezintă cea mai timpurie ocazie de interceptare.
Mostre și indicatori de ștergătoare menționați în prezenta analiză
Ștergător | Tip | Țintă | Actor | Hash / Indicator |
DynoWiper | Windows PE | Polonia, Energie | Sandworm/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ucraina, infrastructură critică | Legătura cu Rusia | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Polonia, Industrie prelucrătoare | Sandworm/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Ștergător Lotus | Windows PE | Venezuela, Energie și utilități | Necunoscut (din motive geopolitice) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Opriți atacurile de tip „wiper” înainte ca acestea să se execute
Atacurile de tip Wiper urmează un model constant, indiferent de mediu, sector sau autor al amenințării. Indiferent de modul în care sunt lansate sau de limbajul pe care îl utilizează, acestea se bazează pe aceeași secvență: un fișier trece de o barieră de securitate, se execută și distruge datele sistemului.
Această consecvență creează o oportunitate clară de apărare. Identificarea și analizarea fișierelor înainte ca acestea să fie considerate de încredere rămâne una dintre cele mai eficiente metode de a opri programele de ștergere a datelor înainte ca acestea să poată provoca daune.
MetaDefender abordează această problemă printr-o abordare stratificată. Acesta combină analiza reputației în timp real, tehnici avansate de izolare (sandboxing) și corelarea comportamentală pentru a detecta amenințările necunoscute și evazive înainte de execuție. Analiza sa bazată pe emulare dezvăluie încărcăturile ascunse, dezarhivează programele malware cu mai multe etape și identifică indicatorii de compromitere fără a se baza pe semnături.
Pentru organizațiile care gestionează infrastructuri critice, această abordare permite detectarea timpurie a atacurilor chiar de la punctul de pornire, înainte ca perturbările să ajungă la sistemele OT. Pentru a înțelege cum se aplică acest lucru în cazul mediului dumneavoastră, contactați un OPSWAT pentru a discuta despre MetaDefender .
