Sin rescate, solo dolor: DynoWiper llega para «borrar la memoria» del sector energético polaco
La infraestructura crítica del país fue atacada con el único objetivo de causar destrucción.
La empresa ESET reveló detalles técnicos adicionales sobre un ataque que empleó una nueva herramienta maliciosa de destrucción de datos llamada DynoWiper. El incidente afectó a una organización del sector energético en Polonia y destaca por haber sido dirigido a un sector crítico utilizando software especializado para el borrado irreversible de información.
El equipo de ESET determinó que el programa detectado está diseñado específicamente para destruir datos en estaciones de trabajo y servidores. En su funcionamiento, DynoWiper guarda similitudes con la herramienta destructiva ZOV wiper previamente identificada. En ambos casos se usaron técnicas parecidas de difusión mediante políticas de grupo de Active Directory y una lógica particular de reescritura de archivos que borra parte del contenido de forma selectiva para acelerar el proceso. Con base en las coincidencias en tácticas y herramientas, la atribución de la operación se vincula a un grupo destructivo conocido; sin embargo, el nivel de confianza se considera medio.
Durante el ataque, los atacantes colocaron en un directorio de red compartido varias variantes de archivos ejecutables y las ejecutaron de forma secuencial. Cada muestra siguiente contenía pequeños cambios, lo que indica intentos de eludir mecanismos de protección. La solución desplegada en la infraestructura, ESET PROTECT, bloqueó la ejecución de todas las versiones del programa malicioso y con ello limitó el daño.
DynoWiper actúa por etapas. Primero, la utilidad examina los discos conectados y reescribe archivos con datos aleatorios, omitiendo varios directorios del sistema. Después, en algunas variantes se levantan esas restricciones y el borrado afecta casi todo el contenido de los volúmenes. Al final se ejecuta un reinicio forzado, lo que dificulta considerablemente la recuperación del sistema.
En la red de la organización afectada también se hallaron indicios del uso de herramientas públicas como Rubeus y rsocx. Además, se registraron intentos de volcar la memoria del proceso LSASS con herramientas nativas de Windows. Para la conexión proxy se empleó un servidor externo que, según la evaluación de los analistas, estaba comprometido y se utilizó como nodo intermedio.
Según las observaciones de ESET, este grupo se ha especializado desde hace tiempo en operaciones destructivas y en ataques contra empresas de infraestructura, incluyendo los sectores de energía, transporte y logística. Anteriormente sus operaciones solían enmascararse como ransomware o actividad encubierta; en este caso se aplicó un método directo de destrucción de datos.
Un análisis técnico independiente del incidente fue publicado por el equipo de respuesta CERT Polska. El informe subraya que la obtención de privilegios de administrador de dominio amplía drásticamente las capacidades de los atacantes dentro de la red y complica la defensa, por lo que la detección temprana de intrusiones sigue siendo un factor crítico.