DYNOWIPER: Schadsoftware zielt auf Polens Energiesektor ab

Zusammenfassung

Am 29 Dezember 2025 wurde die polnische Energieinfrastruktur im Rahmen einer koordinierten Kampagne zerstörerischer Cyberangriffe angegriffen. Betroffen waren über 30 Anlagen zur Erzeugung erneuerbarer Energien sowie ein großes Blockheizkraftwerk.
Eine speziell entwickelte Löschsoftware mit dem Namen DYNOWIPER wurde eingesetzt, um Daten in kompromittierten Netzwerken unwiderruflich zu zerstören.
CERT Polska ordnet die Angriffsinfrastruktur dem Bedrohungscluster zu, das Cisco als Static Tundra, Crowdstrike als Berserk Bear, Microsoft als Ghost Blizzard und Symantec als Dragonfly bezeichnet.
Der Ransomware-Schutz von Elastic Defend erkennt und verhindert die Ausführung von DYNOWIPER erfolgreich mithilfe der Überwachung von Canary-Dateien.

Hintergrund

Die koordinierte Zerstörungskampagne gegen kritische Energieinfrastruktur ereignete sich am 29 Dezember 2025 während einer Periode mit strengem Winterwetter in Polen.

Laut Bericht von CERT Polska richtete sich die Kampagne gegen:

Mehr als 30 Wind- und Solarparks in ganz Polen
Ein großes Blockheizkraftwerk versorgt fast eine halbe Million Kunden mit Wärme.
Ein Unternehmen aus dem Fertigungssektor, das als opportunistisches Ziel charakterisiert wird

Angriffsvektor

Der Angreifer erlangte Berichten zufolge ersten Zugang über Fortinet FortiGate-Geräte, die vor dem 29. Dezember mit dem Internet verbunden waren, und nutzte dabei folgende Sicherheitslücken aus:

VPN-Schnittstellen, die eine Authentifizierung ohne Multi-Faktor-Authentifizierung ermöglichen
Wiederverwendung von Zugangsdaten in mehreren Einrichtungen
Historische Schwachstellen in ungepatchten Geräten

Die Angreifer führten monatelange Aufklärungsarbeiten an industriellen Automatisierungssystemen durch und zielten dabei insbesondere auf SCADA-Systeme und OT-Netzwerke ab. Während dieser Zeit entwendeten sie Active Directory-Datenbanken, FortiGate-Konfigurationen und Daten im Zusammenhang mit der Modernisierung von OT-Netzwerken.

DYNOWIPER Details

Elastic Security Labs analysierte unabhängig eine DYNOWIPER-Probe aus Open-Source-Quellen. Die Probe ähnelt einer der von CERT Polska dokumentierten Varianten.

Beispiel-Metadaten

Eigentum	„Value“ (Wert)
SHA256	`835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5`
SHA1	`4ec3c90846af6b79ee1a5188eefa3fd21f6d4cf6`
MD5	`a727362416834fa63672b87820ff7f27`
Dateityp	Windows PE32-ausführbare Datei (GUI)
Architektur	32-Bit x86
File Size	167.424 Bytes
Compiler	Visual C++ (MSVC)
Zusammenstellungsdatum	2025-12-26 13:51:11 UTC

Zerstörungsmechanismus

Laufwerksaufzählung

Die Malware listet alle logischen Laufwerke (AZ) mit GetLogicalDrives() auf und zielt nur auf die Typen DRIVE_FIXED (Festplatten) und DRIVE_REMOVABLE (USB-Laufwerke, SD-Karten) ab.

Dateibeschädigung

DYNOWIPER verwendet einen Mersenne-Twister-PRNG, um pseudozufällige Daten für die Dateikorruption zu generieren. Anstatt ganze Dateien zu überschreiben (was Zeit in Anspruch nimmt), beschädigt es Dateien gezielt durch:

Entfernen von Dateischutzattributen über SetFileAttributesW(FILE_ATTRIBUTE_NORMAL)
Öffnen von Dateien mit CreateFileW für Lese-/Schreibzugriff
Überschreiben des Dateikopfes mit 16 Bytes zufälliger Daten
Bei größeren Dateien werden bis zu 4.096 zufällige Offsets generiert und jeder einzelne mit 16-Byte-Sequenzen überschrieben.

Diese Vorgehensweise ermöglicht die schnelle Beschädigung vieler Dateien und gewährleistet gleichzeitig die Unwiederbringlichkeit der Daten.

Verzeichnisausschlussliste

Die Schadsoftware meidet absichtlich systemkritische Verzeichnisse, um die Systemstabilität während des Angriffs aufrechtzuerhalten:

windows, system32
program files, program files(x86)
boot, appdata, temp
recycle.bin, $recycle.bin
perflogs, documents and settings

Diese Designentscheidung maximiert die Datenvernichtung, bevor das System instabil wird, und stellt so sicher, dass der Datenlöscher seine Aufgabe erfüllt.

Neustart erzwungen

Nach Abschluss der Korruptions- und Löschphasen, DYNOWIPER:

Erhält ein Prozesstoken über OpenProcessToken()
Aktiviert SeShutdownPrivilege über AdjustTokenPrivileges()
Erzwingt einen Systemneustart mit ExitWindowsEx(EWX_REBOOT | EWX_FORCE)

Bemerkenswerte Merkmale

DYNOWIPER zeichnet sich durch mehrere Merkmale aus:

Kein Persistenzmechanismus – Die Malware versucht nicht, Neustarts zu überstehen.
Keine C2-Kommunikation – Vollständig autark, keine Netzwerk-Callbacks
Keine Shell-Befehlsaufrufe – Alle Operationen werden über die Windows-API ausgeführt.
Keine Anti-Analyse-Techniken – keine Versuche, Erkennung oder Fehlersuche zu umgehen
Charakteristischer PDB-Pfad: C:\Users\vagrant\Documents\Visual Studio 2013\Projects\Source\Release\Source.pdb

Die Verwendung von „vagrant“ im PDB-Pfad deutet darauf hin, dass die Entwicklung in einer von Vagrant verwalteten virtuellen Maschinenumgebung stattfand.

Versionsunterschiede

CERT Polska dokumentierte zwei DYNOWIPER-Versionen (A und B). Die von uns analysierte Probe entspricht Version A. Version B hat die Systemabschaltfunktion entfernt und eine 5-sekündige Wartezeit zwischen der Beschädigungs- und der Löschphase hinzugefügt.

Elastischer Schutz

Bei Tests mit DYNOWIPER-Samples erkannte und neutralisierte Elastic Defend die Malware erfolgreich, bevor sie Schaden anrichten konnte.

Erkennungsalarm

{  
  "message": "Ransomware Prevention Alert",  
  "event": {  
    "code": "ransomware",  
    "action": "canary-activity",  
    "type": ["info", "start", "change", "denied"],  
    "category": ["malware", "intrusion_detection", "process", "file"],  
    "outcome": "success"  
  },  
  "Ransomware": {  
    "feature": "canary",  
    "version": "1.9.0"  
  }  
}

Wie der Kanarienvogelschutz funktioniert

Der Ransomware-Schutz von Elastic Defend verwendet Canary-Dateien (strategisch platzierte Köderdateien), die bei einer Änderung Warnmeldungen auslösen. Die wahllos vorgegangene Vorgehensweise von DYNOWIPER bei der Dateibeschädigung führte dazu, dass eine Canary-Datei verändert wurde.

Als der Wiper versuchte, diese Canary-Datei zu beschädigen, griff Elastic Defend sofort ein:

Verdächtiges Modifikationsmuster erkannt
Weitere Ausführung verhindert
Es wurde eine Ransomware-Warnung mit hoher Zuverlässigkeit generiert (Risikobewertung: 73).

Obwohl Elastic Defend nicht die EDR-Lösung war, die bei diesem Vorfall zum Einsatz kam, war diese Form des mehrschichtigen Schutzes bei dem realen Einbruch von entscheidender Bedeutung. Laut CERT Polska verhinderte die im Blockheizkraftwerk eingesetzte EDR-Lösung, die dieselbe Canary-Schutztechnologie wie oben beschrieben nutzte, das Überschreiben von Daten auf mehr als 100 Maschinen, auf denen DYNOWIPER bereits mit der Ausführung begonnen hatte.

Warum Verhaltenserkennung so wichtig ist

Schadsoftware kann besondere Herausforderungen bei der Risikominimierung darstellen:

Es ist möglich, dass keine C2-Verbindungen hergestellt werden können (keine Netzwerkindikatoren).
Sie verwenden möglicherweise keine Persistenzmechanismen (begrenzte forensische Artefakte).
Sie führen ihre Aktionen schnell und zerstörerisch aus.
Statische, signaturbasierte Erkennungsmethoden erfassen möglicherweise keine neuen Varianten.

Verhaltensbasierter Schutz, beispielsweise durch Canary-Dateien, bietet eine entscheidende Verteidigungsebene, die zerstörerische Malware unabhängig von ihrer Neuartigkeit erkennen kann.

Indikatoren für einen Kompromiss

Dateihashes (DYNOWIPER)

SHA256	Dateiname
`835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5`	dynacom_update.exe
`65099f306d27c8bcdd7ba3062c012d2471812ec5e06678096394b238210f0f7c`	Source.exe
`60c70cdcb1e998bffed2e6e7298e1ab6bb3d90df04e437486c04e77c411cae4b`	schtask.exe
`d1389a1ff652f8ca5576f10e9fa2bf8e8398699ddfc87ddd3e26adb201242160`	schtask.exe

Verteilungsskripte

SHA256	Dateiname
`8759e79cf3341406564635f3f08b2f333b0547c444735dba54ea6fce8539cf15`	dynacon_update.ps1
`f4e9a3ddb83c53f5b7717af737ab0885abd2f1b89b2c676d3441a793f65ffaee`	exp.ps1

Netzwerkindikatoren

IP-Adresse	Kontext
`185.200.177[.]10`	VPN-Logins, direkte DYNOWIPER-Ausführung
`31.172.71[.]5`	Reverse-Proxy für Datenexfiltration
`193.200.17[.]163`	VPN-Logins
`185.82.127[.]20`	VPN-Logins
`72.62.35[.]76`	VPN- und O365-Logins

YARA Rule

rule DYNOWIPER {  
    meta: 
        author = "CERT Polska"
        description = "Detects DYNOWIPER data destruction malware"  
        severity = "CRITICAL"  
        reference = "https://mwdb.cert.pl/"  
          
    strings:  
        $a1 = "$recycle.bin" wide  
        $a2 = "program files(x86)" wide  
        $a3 = "perflogs" wide  
        $a4 = "windows\x00" wide  
        $b1 = "Error opening file: " wide  
        $priv = "SeShutdownPrivilege" wide  
        $api1 = "GetLogicalDrives"  
        $api2 = "ExitWindowsEx"  
        $api3 = "AdjustTokenPrivileges"  
          
    condition:  
        uint16(0) == 0x5A4D  
        and filesize < 500KB  
        and 4 of ($a*, $b1)  
        and $priv  
        and 2 of ($api*)  
}

Empfehlungen:

Sofortmaßnahmen

Setzen Sie verhaltensbasierten Ransomware-Schutz ein – Signaturbasierte Erkennung allein reicht gegen neuartige Wiper nicht aus.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für alle VPN- und Fernzugriffslösungen – Angreifer nutzten Konten ohne MFA aus.
FortiGate- und Edge-Gerätekonfigurationen prüfen – Auf nicht autorisierte Konten, Regeln und geplante Aufgaben prüfen
Standardanmeldedaten prüfen – Industriegeräte (RTUs, HMIs, serielle Server) werden häufig mit Standardpasswörtern ausgeliefert.

Erkennungsmöglichkeiten

Überwachen Sie Folgendes:

GetLogicalDrives API-Aufrufe gefolgt von Massendateioperationen
SetFileAttributesW Aufrufe, die FILE_ATTRIBUTE_NORMAL im Maßstab setzen
Privilegieneskalation für SeShutdownPrivilege gefolgt von ExitWindowsEx
GPO-Änderungen zur Erstellung geplanter Aufgaben mit SYSTEM-Berechtigungen
Ungewöhnliche Dateiänderungen auf mehreren Laufwerken gleichzeitig

Überlegungen zur Wiederherstellung

Wiederherstellung aus Offline-/getrennten Backups – Online-Backups könnten Ziel eines Angriffs gewesen sein
Überprüfen Sie die Integrität der Datensicherung vor der Wiederherstellung.
Gehen Sie von einem möglichen Sicherheitsverstoß bei den Zugangsdaten aus – setzen Sie alle Passwörter zurück, insbesondere die von Domänenadministratorkonten.
Prüfen Sie alle Wechseldatenträger , die möglicherweise mit den betroffenen Systemen verbunden waren.

Fazit

Die Angriffe 2025 Dezember auf den polnischen Energiesektor stellen eine erhebliche Eskalation zerstörerischer Cyberangriffe gegen kritische Infrastrukturen dar. DYNOWIPER war zwar technisch nicht hochentwickelt, erwies sich aber in Kombination mit dem umfangreichen, zuvor vom Angreifer bereitgestellten Zugriff als effektiv bei der schnellen Datenvernichtung.

Der Vorfall unterstreicht die Bedeutung von mehrschichtigen Verteidigungsstrategien, insbesondere von Verhaltenserkennungsfähigkeiten, die zerstörerische Malware unabhängig von ihrer Neuartigkeit identifizieren können. Der Ransomware-Schutz von Elastic Defend – insbesondere die Überwachung von Canary-Dateien – erwies sich als wirksam bei der Erkennung und Blockierung von DYNOWIPER, bevor es seine zerstörerische Mission vollenden konnte.

Organisationen in kritischen Infrastruktursektoren sollten ihre Sicherheitslage im Hinblick auf die in diesem Bericht und der umfassenden Analyse von CERT Polska dokumentierten TTPs überprüfen.

Referenzen

CERT Polska: Bericht über Vorfälle im Energiesektor – 29 Dezember

Cisco Talos: Statische Tundra
FBI IC3: PSA250820

MITRE ATT&CK-Mapping

Taktik	Verfahren	ID
Ausführung	Geplante/r Aufgabe/Auftrag	T1053.005
Tarnung	Datei- und Verzeichnisberechtigungen manipuliert	T1222
Discovery	Lokale Speichererkennung	T1680
Auswirkungen	Datenzerstörung	T1485
Auswirkungen	System herunterfahren/neu starten	T1529