DYNOWIPER: Malware destructivo dirigido al sector energético de Polonia

Resumen

El 29de diciembre de 2025, una campaña coordinada de ciberataques destructivos tuvo como objetivo la infraestructura energética de Polonia, afectando a más de 30 instalaciones de energía renovable y a una importante central combinada de calor y energía (CHP)
Se empleó un malware de limpiaparabrisas personalizado llamado DYNOWIPER para destruir de forma irreversible los datos a través de redes comprometidas
CERT Polska atribuye la infraestructura de ataque al clúster de amenazas que Cisco denomina Static Tundra, Crowdstrike como Berserk Bear, Microsoft llama Ghost Blizzard y Symantec llama Dragonfly
La protección contra ransomware de Elastic Defend detecta y previene con éxito la ejecución de DYNOWIPER mediante monitorización de archivos canario

Fondo

La campaña destructiva coordinada contra infraestructuras energéticas críticas tuvo lugar el 29de diciembre de 2025, durante un periodo de severo invierno en Polonia.

Según el reporte de CERT Polska, la campaña se dirigió a:

30+ parques eólicos y solares en toda Polonia
Una gran central de CHP que suministra calor a casi medio millón de clientes
Una compañía del sector manufacturero caracterizada como un objetivo oportunista

Vector de ataque

Según se informa, el actor de la amenaza obtuvo acceso inicial a través de dispositivos Fortinet FortiGate expuestos a Internet antes del 29 de diciembre, explotando:

Interfaces VPN que permiten la autenticación sin autenticación multifactor
Reutilización de credenciales en múltiples instalaciones
Vulnerabilidades históricas en dispositivos sin parchear

Los atacantes realizaron un reconocimiento de meses en sistemas de automatización industrial, dirigir específicamente a sistemas SCADA y redes OT. Durante este tiempo, exfiltraron bases de datos de Active Directory, configuraciones de FortiGate y datos relacionados con la modernización de redes OT.

Detalles de DYNOWIPER

Elastic Security Labs analizó de forma independiente una muestra de DYNOWIPER de fuentes abiertas. La muestra es similar a una de las variantes documentadas por CERT Polska.

Metadatos de ejemplo

Propiedad	Valor
SHA256	`835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5`
SHA1	`4ec3c90846af6b79ee1a5188eefa3fd21f6d4cf6`
MD5	`a727362416834fa63672b87820ff7f27`
Tipo de archivo	Ejecutable (GUI) de Windows PE32
Arquitectura	32 bits x86
File Size	167.424 bytes
Compilador	Visual C++ (MSVC)
Fecha de recopilación	2025-12-26 13:51:11 UTC

Mecanismo de destrucción

Enumeración de Unidades

El malware enumera todos los discos lógicos (de la A a la Z) que usan GetLogicalDrives() y solo apunta a DRIVE_FIXED (discos duros) y DRIVE_REMOVABLE (unidades USB, tarjetas SD).

Corrupción de archivos

DYNOWIPER emplea un PRNG de Mersenne Twister para generar datos pseudoaleatorios para corrupción de archivos. En lugar de sobreescribir archivos enteros (lo que requiere tiempo), corrompe estratégicamente los archivos mediante:

Eliminación de atributos de protección de archivos mediante SetFileAttributesW(FILE_ATTRIBUTE_NORMAL)
Abrir archivos con CreateFileW para acceso de lectura/escritura
Sobreescribir la cabecera del archivo con 16 bytes de datos aleatorios
Para archivos más grandes, generar hasta 4.096 desplazamientos aleatorios y sobreescribir con secuencias de 16 bytes

Este enfoque permite la corrupción rápida de muchos archivos cerciorando que los datos no sean recuperables.

Lista de exclusión de directorios

El malware evita deliberadamente directorios críticos para el sistema para mantener la estabilidad durante el ataque:

windows, system32
program files, program files(x86)
boot, appdata, temp
recycle.bin, $recycle.bin
perflogs, documents and settings

Esta elección de diseño maximiza la destrucción de datos antes de que el sistema se vuelva inestable, cerciorando que el limpiaparabrisas complete su misión.

Resetear forzado

Tras completar las fases de corrupción y eliminación, DYNOWIPER:

Obtiene un token de proceso mediante OpenProcessToken()
Permite SeShutdownPrivilege vía AdjustTokenPrivileges()
Resetear del sistema de fuerzas con ExitWindowsEx(EWX_REBOOT | EWX_FORCE)

Características destacadas

DYNOWIPER se distingue por varias características:

Sin mecanismo de persistencia - El malware no intenta sobrevivir a los reinicios
Sin comunicación C2 - Completamente independiente, sin llamadas de red
No invocaciones de comandos de shell - Todas las operaciones realizadas mediante la API de Windows
Sin técnicas anti-análisis - Sin intentos de evadir la detección o depuración
Ruta característica de PDB: C:\Users\vagrant\Documents\Visual Studio 2013\Projects\Source\Release\Source.pdb

El uso de "vagrant" en la ruta PDB sugiere que el desarrollo se produjo en un entorno de máquina virtual gestionada por Vagrant.

Diferencias de versiones

CERT Polska documentó dos versiones de DYNOWIPER (A y B). La muestra que analizamos corresponde a la versión A. La versión B eliminó la funcionalidad de apagado del sistema y agregó un sueño de 5 segundos entre las fases de corrupción y eliminación.

Protección de defensa elástica

Durante las pruebas de las muestras de DYNOWIPER, Elastic Defend detectó y mitigó con éxito el malware antes de que pudiera causar daños.

Alerta de detección

{  
  "message": "Ransomware Prevention Alert",  
  "event": {  
    "code": "ransomware",  
    "action": "canary-activity",  
    "type": ["info", "start", "change", "denied"],  
    "category": ["malware", "intrusion_detection", "process", "file"],  
    "outcome": "success"  
  },  
  "Ransomware": {  
    "feature": "canary",  
    "version": "1.9.0"  
  }  
}

Cómo funciona la protección contra los canarios

La protección contra ransomware de Elastic Defend emplea archivos canario (archivos señuelo estratégicamente colocados) que activan alertas al modificar. El enfoque indiscriminado de corrupción de archivos de DYNOWIPER le llevó a modificar un archivo canario.

Cuando el limpiaparabrisas intentó corromper este archivo canario, Defender Elástico inmediatamente:

Detectado el patrón de modificación sospechoso
Bloqueo de ejecuciones posteriores
Generé una alerta de ransomware de alta confianza (puntaje de riesgo: 73)

Aunque Elastic Defend no fue la solución EDR empleada en este incidente, esta forma de protección defensiva en profundidad fue fundamental en la intrusión real. Según CERT Polska, la solución EDR desplegada en la planta de la CHP, empleando la misma tecnología de protección contra canarios mencionada anteriormente, detuvo la sobreescritura de datos en más de 100 máquinas donde DYNOWIPER ya comenzó a ejecutar.

Por qué la detección conductual es crucial

El malware destructivo puede presentar desafíos únicos para minimizar el riesgo:

No pueden establecer conexiones C2 (sin indicadores de red)
No pueden usar mecanismos de persistencia (artefactos forenses limitados)
Ejecutan de forma rápida y destructiva
La detección basada en firma estática puede pasar por alto nuevas variantes

La protección conductual, como a través de archivos canarios, proporciona una capa crucial de defensa que puede detectar malware destructivo independientemente de su novedad.

Indicadores de compromiso

Hashes de archivo (DYNOWIPER)

SHA256	Nombre del archivo
`835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5`	dynacom_update.exe
`65099f306d27c8bcdd7ba3062c012d2471812ec5e06678096394b238210f0f7c`	Source.exe
`60c70cdcb1e998bffed2e6e7298e1ab6bb3d90df04e437486c04e77c411cae4b`	schtask.exe
`d1389a1ff652f8ca5576f10e9fa2bf8e8398699ddfc87ddd3e26adb201242160`	schtask.exe

Guiones de distribución

SHA256	Nombre del archivo
`8759e79cf3341406564635f3f08b2f333b0547c444735dba54ea6fce8539cf15`	dynacon_update.ps1
`f4e9a3ddb83c53f5b7717af737ab0885abd2f1b89b2c676d3441a793f65ffaee`	exp.ps1

Indicadores de red

Dirección IP	Contexto
`185.200.177[.]10`	Inicios de sesión de VPN, ejecución directa de DYNOWIPER
`31.172.71[.]5`	Proxy inverso para la exfiltración de datos
`193.200.17[.]163`	Inicios de sesión de VPN
`185.82.127[.]20`	Inicios de sesión de VPN
`72.62.35[.]76`	VPN e inicios de sesión en O365

Regla YARA

rule DYNOWIPER {  
    meta: 
        author = "CERT Polska"
        description = "Detects DYNOWIPER data destruction malware"  
        severity = "CRITICAL"  
        reference = "https://mwdb.cert.pl/"  
          
    strings:  
        $a1 = "$recycle.bin" wide  
        $a2 = "program files(x86)" wide  
        $a3 = "perflogs" wide  
        $a4 = "windows\x00" wide  
        $b1 = "Error opening file: " wide  
        $priv = "SeShutdownPrivilege" wide  
        $api1 = "GetLogicalDrives"  
        $api2 = "ExitWindowsEx"  
        $api3 = "AdjustTokenPrivileges"  
          
    condition:  
        uint16(0) == 0x5A4D  
        and filesize < 500KB  
        and 4 of ($a*, $b1)  
        and $priv  
        and 2 of ($api*)  
}

Recomendaciones

Acciones inmediatas

Despliegue protección contra ransomware conductual - La detección basada en firmas por sí sola es insuficiente contra limpiapares nuevos
Activar MFA en todas las soluciones VPN y de acceso remoto - Los atacantes explotaron cuentas sin MFA
Auditar FortiGate y configuraciones de dispositivos edge - Comprobar cuentas no autorizadas, reglas y tareas programadas
Credenciales predeterminadas de revisión - Los dispositivos industriales (RTU, HMIs, servidores seriales) suelen enviar con contraseñas predeterminadas

Oportunidades de detección

Vigila para:

GetLogicalDrives Llamadas a API seguidas de operaciones masivas de archivos
SetFileAttributesW Configuración de llamadas FILE_ATTRIBUTE_NORMAL a escala
Escalada de privilegios para SeShutdownPrivilege seguida de ExitWindowsEx
Modificaciones GPO que crean tareas programadas con privilegios de SISTEMA
Modificaciones inusuales de archivos en múltiples discos simultáneamente

Consideraciones de recuperación

Restauración desde copias de seguridad offline/air-gapped - Las copias de seguridad en línea pueden ser objetivo
Verifica la integridad de la copia de seguridad antes de la restauración
Asumir compromiso de credenciales - Restablecer todas las contraseñas, especialmente las cuentas de administrador de dominio
Auditar todos los medios extraíbles que puedan estar conectados a los sistemas afectados

Conclusión

Los ataques del 2025 diciembre contra el sector energético polaco representan una escalada significativa en las operaciones cibernéticas destructivas contra infraestructuras críticas. DYNOWIPER, aunque no era técnicamente sofisticado, demostró ser eficaz en la destrucción rápida de datos cuando se combinaba con el extenso acceso preposicionado del actor amenazante.

El incidente subraya la importancia de estrategias de defensa en profundidad, especialmente capacidades de detección conductual que pueden identificar malware destructivo independientemente de su novedad. La protección contra ransomware de Elastic Defend —específicamente su monitorización de archivos canario— resultó eficaz para detectar y bloquear a DYNOWIPER antes de que pudiera completar su misión destructiva.

Las organizaciones en sectores de infraestructuras críticas deberían revisar su postura de seguridad frente a los TTP documentados en este reporte y en el análisis exhaustivo de CERT Polska.

Referencias

CERT Polska: Reporte de incidentes del sector energético – 29 diciembre

Cisco Talos: Tundra estática
FBI IC3: PSA250820

CARTOGRAFÍA DE MITRE ATT&CK

Táctica	Técnica	IDENTIFICACIÓN
Ejecución	Tarea/trabajo programado	T1053.005
Evasión de defensa	Modificación de permisos de directorios y archivos	T1222
Descubrimiento	Descubrimiento de almacenamiento local	T1680
Impacto	Destrucción de datos	T1485
Impacto	Apagado/Resetear del sistema	T1529