Malware destrutivo previamente não documentado foi associado a uma operação atribuída ao Sandworm contra usinas de cogeração e sistemas de energia renovável no fim de dezembro de 2025.
| Componente | Malware destrutivo DynoWiper, também identificado como Win32/KillFiles.NMO, usado contra ativos do setor elétrico polonês. |
| Vetor | Implantação de um wiper previamente não documentado em uma tentativa de ataque disruptivo; o vetor de acesso inicial não foi informado. |
| Impacto | Tentativa de interrupção contra infraestrutura de energia, sem evidência informada de disrupção bem-sucedida. |
| Prioridade | Revisar telemetria de 29 e 30 de dezembro de 2025 em ambientes de TI e OT ligados a usinas de cogeração e gestão de energia renovável. |
| Artefatos | DynoWiper, Win32/KillFiles.NMO e sobreposição com atividade destrutiva anterior atribuída ao Sandworm. |
Uma tentativa de ataque destrutivo contra o sistema de energia da Polônia no fim de dezembro de 2025 envolveu o uso de um malware wiper até então não documentado, identificado como DynoWiper e também classificado como Win32/KillFiles.NMO. A atividade foi atribuída ao grupo Sandworm, conhecido por operações disruptivas contra infraestrutura crítica, especialmente em cenários ligados ao conflito entre Rússia e Ucrânia. O episódio foi descrito por autoridades polonesas como o ataque mais intenso contra a infraestrutura energética do país em anos, mas não há evidência informada de que a operação tenha causado interrupção efetiva.
A janela de atividade citada envolve 29 e 30 de dezembro de 2025. Os alvos incluíram duas usinas de cogeração, conhecidas como CHP, e um sistema usado para gerenciamento de eletricidade gerada por fontes renováveis, incluindo turbinas eólicas e fazendas fotovoltaicas. Esse recorte é relevante porque combina ativos de geração convencional térmica, geração elétrica e sistemas de coordenação de energia renovável, ampliando a necessidade de investigação tanto em redes corporativas quanto em segmentos operacionais e sistemas de suporte.
O elemento técnico central da operação foi a implantação do DynoWiper em uma tentativa de ataque com finalidade disruptiva. O material analisado não detalha o mecanismo de infecção, credenciais usadas, movimento dentro da rede, exploração de vulnerabilidade, execução remota ou cadeia de entrega. Por isso, a análise defensiva deve separar com rigor o que está confirmado do que permanece aberto: há confirmação do uso de um wiper e da tentativa contra o setor elétrico, mas não há base para afirmar o método de acesso inicial ou uma sequência operacional completa.
Wipers são relevantes para ambientes de energia porque o objetivo não é monetização, persistência longa ou coleta silenciosa de dados, mas degradação de disponibilidade. Quando usados contra redes que sustentam operação industrial, eles podem afetar estáções de trabalho, servidores de gerenciamento, sistemas auxiliares e componentes de TI que dão suporte à operação. O impacto informado neste caso permaneceu no nível de tentativa sem disrupção comprovada, mas a presença de malware destrutivo em uma campanha contra geração e gestão de energia exige investigação de execução, escopo de propagação, contas usadas e integridade de sistemas próximos aos ativos operacionais.
A atribuição ao Sandworm foi baseada em sobreposições com atividades destrutivas anteriores associadas ao mesmo adversário, em especial após a invasão russa da Ucrânia em fevereiro de 2022. A operação ocorreu também no décimo aniversário do ataque de dezembro de 2015 contra a rede elétrica ucraniana, episódio que envolveu BlackEnergy e a implantação do wiper KillDisk, causando apagão de 4 a 6 horas para cerca de 230 mil pessoas na região de Ivano-Frankivsk. Esse histórico não transforma automaticamente a tentativa polonesa em repetição técnica do caso ucraniano, mas ajuda a explicar por que wipers contra energia são tratados como risco operacional de alta prioridade.
A superfície diretamente citada inclui duas plantas de cogeração e uma plataforma associada ao gerenciamento de energia renovável. Em termos defensivos, isso envolve revisar zonas onde sistemas corporativos, administração de ativos, engenharia, supervisão e operação se cruzam. Mesmo sem indicação de interrupção, a tentativa mostra interesse em ativos que podem sustentar geração, controle, planejamento ou integração de fontes como eólica e solar.
O contexto também aponta que o governo polonês prepara salvaguardas adicionais, incluindo legislação de segurança cibernética com exigências rígidas para gestão de risco, proteção de sistemas de tecnologia da informação e tecnologia operacional, além de resposta a incidentes. Para operadores de infraestrutura crítica, esse tipo de exigência reforça controles que já deveriam existir: segmentação entre TI e OT, inventário de ativos, controle de contas privilegiadas, restauração testada e capacidade de investigar eventos destrutivos sem depender apenas de logs locais que possam ter sido apagados.
- Duas usinas de cogeração visadas nos ataques de 29 e 30 de dezembro de 2025.
- Sistema de gerenciamento de eletricidade oriunda de fontes renováveis, incluindo turbinas eólicas e fazendas fotovoltaicas.
- Ambientes de TI e OT que sustentam operação, administração, monitoramento, resposta e continuidade do setor elétrico.
A investigação deve começar pela janela de 29 e 30 de dezembro de 2025 e expandir para dias anteriores quando houver sinais de preparação, acesso inicial ou transferência de artefatos. Como o vetor inicial não foi informado, a busca não deve presumir phishing, exploração de vulnerabilidade, VPN, credenciais ou cadeia de suprimentos. O foco inicial deve ser evidência de execução de binários desconhecidos, criação ou movimentação de arquivos associados a DynoWiper, atividade de contas administrativas fora do padrão e eventos de remoção, sobrescrita ou destruição de arquivos.
Em endpoints Windows, a telemetria útil inclui criação de processos incomuns em servidores e estáções administrativas, execução em horários próximos à janela citada, alterações abruptas de volume de arquivos, falhas de inicialização após execução suspeita, eventos de segurança relacionados a privilégio elevado e registros de ferramentas de gerenciamento remoto usadas fora do fluxo normal. Em redes industriais e de energia, a análise deve correlacionar eventos de TI com logs de sistemas de supervisão, servidores de engenharia, estáções de operação, jump servers e plataformas que fazem a ponte entre ambientes corporativos e operacionais.
Também é necessário procurar padrões compatíveis com operações destrutivas anteriores atribuídas ao mesmo adversário, sem assumir que o DynoWiper compartilha exatamente o mesmo código de outras famílias. O contexto menciona precedentes como PathWiper em uma entidade de infraestrutura crítica na Ucrânia, além de ZEROLOT e Sting em redes ucranianas de universidade, governo, energia, logística e grãos entre junho e setembro de 2025. Essa sequência sugere que defensores devem tratar wipers como uma categoria operacional ativa em setores críticos, com busca por artefatos destrutivos, preparação de execução coordenada e tentativa de afetar disponibilidade.
- Execução de arquivos desconhecidos ou recém-introduzidos próximos a 29 e 30 de dezembro de 2025 em servidores, estáções administrativas e ambientes ligados à operação.
- Eventos de exclusão, sobrescrita, falha de acesso a arquivos, degradação súbita de serviços ou reinicializações anômalas sem causa operacional documentada.
- Uso fora do padrão de contas privilegiadas, jump servers, ferramentas administrativas e caminhos de acesso entre TI e OT.
- Correlação entre alertas de endpoint, logs de identidade, eventos de rede e registros de sistemas de gerenciamento de energia renovável.
A resposta deve priorizar preservação de evidências e isolamento controlado de sistemas suspeitos, especialmente em ambientes em que uma ação apressada possa afetar operação elétrica. Como o ataque informado não teve disrupção comprovada, o objetivo defensivo é confirmar escopo, impedir reexecução, remover persistência caso exista e validar que backups, imagens de recuperação e procedimentos de continuidade estejam íntegros. Em cenários de wiper, restauração não testada é um risco operacional tão sério quanto a detecção tardia.
A proteção deve cobrir contas, segmentação e recuperação. Contas administrativas usadas em ambientes de energia devem ter revisão de atividade, rotação de credenciais quando houver suspeita, autenticação forte e restrição de caminhos de acesso. A segmentação entre TI e OT precisa impedir que uma execução destrutiva em sistemas corporativos alcance estáções de engenharia, servidores de operação ou plataformas de gestão de geração. Backups devem ser imutáveis ou segregados, com testes de restauração que comprovem recuperação de sistemas críticos sem depender de infraestrutura potencialmente afetada.
Como o contexto aponta para futuras exigências legais na Polônia sobre gestão de risco, proteção de TI e OT e resposta a incidentes, organizações de infraestrutura crítica devem usar o caso como referência para validar governança técnica. Isso inclui inventário real de ativos, classificação de sistemas essenciais, registro centralizado fora do endpoint, exercícios de resposta para malware destrutivo e análise de dependências entre geração convencional, fontes renováveis e sistemas administrativos.
- Isolar hosts suspeitos de forma coordenada, preservar imagens e logs e evitar ações que prejudiquem a operação elétrica.
- Revisar execução, contas privilegiadas e caminhos de administração na janela de 29 e 30 de dezembro de 2025, expandindo a busca para atividades preparatórias.
- Validar backups segregados, restauração de sistemas críticos e capacidade de reconstrução de estáções administrativas e servidores de suporte.
- Reforçar segmentação entre TI e OT, controle de acesso a jump servers e monitoramento centralizado para eventos destrutivos.
- Atualizar planos de resposta a incidentes para cenários de wiper, com procedimentos específicos para energia, cogeração e gestão de fontes renováveis.
0 Comentários