DYNOWIPER : logiciel malveillant destructeur ciblant le secteur de l'énergie en Pologne

Résumé

• Le décembre 29, 2025, une campagne coordonnée de cyberattaques destructrices a visé l'infrastructure énergétique de la Pologne, affectant plus de 30 installations de production d'énergie renouvelable et une importante centrale de production combinée de chaleur et d'électricité (PCCE).
• Un logiciel malveillant wiper personnalisé, baptisé DYNOWIPER, a été utilisé pour détruire de manière irréversible des données sur des réseaux compromis.
• Le CERT Polska attribue l'infrastructure d'attaque au groupe de menaces que Cisco appelle Static Tundra, Crowdstrike Berserk Bear, Microsoft Ghost Blizzard et Symantec Dragonfly.
• La protection contre les ransomwares d'Elastic Defend détecte et empêche avec succès l'exécution de DYNOWIPER grâce à la surveillance des fichiers canaris.

Arrière-plan

La campagne coordonnée de destruction des infrastructures énergétiques critiques s'est déroulée le décembre 29, 2025, au cours d'une période d'hiver rigoureux en Pologne.

Selon le rapport du CERT Polska, la campagne a ciblé :

• Plus de 30 parcs éoliens et solaires en Pologne
• Une grande centrale de cogénération fournissant de la chaleur à près d'un demi-million de clients
• Une entreprise du secteur manufacturier considérée comme une cible opportuniste

Vecteur d'attaque

L'acteur de la menace aurait obtenu un accès initial par le biais des dispositifs FortiGate de Fortinet exposés à Internet avant le 29 décembre, en exploitant :

• Interfaces VPN permettant l'authentification sans authentification multifactorielle
• Réutilisation des informations d'identification dans plusieurs établissements
• Vulnérabilités historiques dans les appareils non corrigés

Les attaquants ont mené pendant des mois des opérations de reconnaissance des systèmes d'automatisation industrielle, en ciblant plus particulièrement les systèmes SCADA et les réseaux OT. Pendant cette période, ils ont exfiltré des bases de données Active Directory, des configurations FortiGate et des données relatives à la modernisation du réseau OT.

DYNOWIPER Détails

Elastic Security Labs a analysé de manière indépendante un échantillon de DYNOWIPER provenant de sources ouvertes. L'échantillon est similaire à l'une des variantes documentées par le CERT Polska.

Exemple de métadonnées

Mécanisme de destruction

Dénombrement des lecteurs

Le logiciel malveillant énumère tous les lecteurs logiques (A-Z) à l'aide de GetLogicalDrives() et ne cible que les types DRIVE_FIXED (disques durs) et DRIVE_REMOVABLE (lecteurs USB, cartes SD).

Corruption de fichiers

DYNOWIPER utilise un PRNG Mersenne Twister pour générer des données pseudo-aléatoires pour la corruption de fichiers. Plutôt que d'écraser des fichiers entiers (ce qui prend du temps), il corrompt les fichiers de manière stratégique :

1. Suppression des attributs de protection des fichiers via SetFileAttributesW(FILE_ATTRIBUTE_NORMAL)
2. Ouverture de fichiers avec CreateFileW pour l'accès en lecture/écriture
3. Remplacement de l'en-tête du fichier par 16 octets de données aléatoires
4. Pour les fichiers plus volumineux, générer jusqu'à 4 096 décalages aléatoires et écraser chacun d'entre eux avec des séquences de 16 octets.

Cette approche permet de corrompre rapidement de nombreux fichiers tout en garantissant que les données sont irrécupérables.

Liste d'exclusion des répertoires

Le logiciel malveillant évite délibérément les répertoires critiques pour le système afin de maintenir la stabilité du système pendant l'attaque :

• windows, system32
• program files, program files(x86)
• boot, appdata, temp
• recycle.bin, $recycle.bin
• perflogs, documents and settings

Ce choix de conception permet de maximiser la destruction des données avant que le système ne devienne instable, ce qui garantit que l'essuie-glace remplit sa mission.

Redémarrage forcé

Une fois les phases de corruption et de suppression terminées, DYNOWIPER :

1. Obtention d'un jeton de processus via OpenProcessToken()
2. Permet d'accéder à SeShutdownPrivilege via AdjustTokenPrivileges()
3. Force le redémarrage du système avec ExitWindowsEx(EWX_REBOOT | EWX_FORCE)

Caractéristiques notables

DYNOWIPER se distingue par plusieurs caractéristiques :

• Pas de mécanisme de persistance - Le logiciel malveillant ne tente pas de survivre aux redémarrages.
• Pas de communication C2 - Complètement autonome, pas de rappel de réseau
• Aucune invocation de commande shell - Toutes les opérations sont effectuées via l'API Windows
• Pas de techniques anti-analyse - Pas de tentatives pour échapper à la détection ou au débogage
• Chemin PDB caractéristique : C:\Users\vagrant\Documents\Visual Studio 2013\Projects\Source\Release\Source.pdb

L'utilisation de "vagrant" dans le chemin PDB suggère que le développement a eu lieu dans un environnement de machine virtuelle géré par Vagrant.

Différences entre les versions

Le CERT Polska a documenté deux versions de DYNOWIPER (A et B). L'échantillon que nous avons analysé correspond à la version A. La version B a supprimé la fonctionnalité d'arrêt du système et a ajouté une période de veille de 5 secondes entre les phases de corruption et de suppression.

Protection Elastic Defend

Lors du test des échantillons de DYNOWIPER, Elastic Defend a détecté et atténué avec succès les logiciels malveillants avant qu'ils ne causent des dommages.

Alerte de détection

{  
  "message": "Ransomware Prevention Alert",  
  "event": {  
    "code": "ransomware",  
    "action": "canary-activity",  
    "type": ["info", "start", "change", "denied"],  
    "category": ["malware", "intrusion_detection", "process", "file"],  
    "outcome": "success"  
  },  
  "Ransomware": {  
    "feature": "canary",  
    "version": "1.9.0"  
  }  
}

Comment fonctionne la protection des canaris

La protection contre les ransomwares d'Elastic Defend utilise des fichiers canaris (des fichiers leurres stratégiquement placés) qui déclenchent des alertes en cas de modification. L'approche de DYNOWIPER, qui consiste à corrompre les fichiers sans discernement, a entraîné la modification d'un fichier canari.

Lorsque le wiper a tenté de corrompre ce fichier canari, Elastic Defend a immédiatement réagi :

1. Détection d'un modèle de modification suspect
2. Blocage de la poursuite de l'exécution
3. A généré une alerte de ransomware à haut niveau de confiance (score de risque : 73)

Bien qu'Elastic Defend ne soit pas la solution EDR utilisée dans cet incident, cette forme de défense en profondeur s'est avérée essentielle dans l'intrusion réelle. Selon CERT Polska, la solution EDR déployée dans la centrale de cogénération, qui utilise la même technologie de protection canarienne que celle décrite ci-dessus, a stoppé l'écrasement des données sur plus de 100 machines sur lesquelles DYNOWIPER avait déjà commencé à s'exécuter.

Pourquoi la détection comportementale est cruciale

Les logiciels malveillants destructeurs peuvent présenter des défis uniques pour minimiser les risques :

• Ils peuvent ne pas établir de connexions C2 (pas d'indicateurs de réseau).
• Ils ne peuvent pas utiliser de mécanismes de persistance (artefacts médico-légaux limités).
• Ils exécutent rapidement et de manière destructrice
• La détection basée sur une signature statique peut manquer de nouvelles variantes

La protection comportementale, par exemple au moyen de fichiers canaris, constitue une couche de défense cruciale qui permet de détecter les logiciels malveillants destructeurs, quelle que soit leur nouveauté.

Indicateurs de compromis

Hachures de fichiers (DYNOWIPER)

Scripts de distribution

Indicateurs de réseau

YARA Rule

rule DYNOWIPER {  
    meta: 
        author = "CERT Polska"
        description = "Detects DYNOWIPER data destruction malware"  
        severity = "CRITICAL"  
        reference = "https://mwdb.cert.pl/"  
          
    strings:  
        $a1 = "$recycle.bin" wide  
        $a2 = "program files(x86)" wide  
        $a3 = "perflogs" wide  
        $a4 = "windows\x00" wide  
        $b1 = "Error opening file: " wide  
        $priv = "SeShutdownPrivilege" wide  
        $api1 = "GetLogicalDrives"  
        $api2 = "ExitWindowsEx"  
        $api3 = "AdjustTokenPrivileges"  
          
    condition:  
        uint16(0) == 0x5A4D  
        and filesize < 500KB  
        and 4 of ($a*, $b1)  
        and $priv  
        and 2 of ($api*)  
}

Recommandations :

Actions immédiates

1. Déployez une protection comportementale contre les ransomwares - La détection basée sur les signatures n'est pas suffisante pour lutter contre les nouveaux wipers.
2. Activez le MFA sur toutes les solutions de VPN et d'accès à distance - Les attaquants ont exploité des comptes sans MFA.
3. Auditer les configurations de FortiGate et des périphériques - Vérifier les comptes, les règles et les tâches planifiées non autorisés
4. Vérifiez les informations d'identification par défaut - Les appareils industriels (RTU, HMI, serveurs série) sont souvent livrés avec des mots de passe par défaut.

Possibilités de détection

Moniteur pour :

• GetLogicalDrives Appels API suivis d'opérations de fichiers en masse
• SetFileAttributesW appelle le réglage FILE_ATTRIBUTE_NORMAL à l'échelle
• Escalade de privilèges pour SeShutdownPrivilege suivie de ExitWindowsEx
• Modifications de GPO créant des tâches planifiées avec des privilèges SYSTEM
• Modifications inhabituelles de fichiers sur plusieurs lecteurs simultanément

Considérations relatives à la récupération

• Restauration à partir de sauvegardes hors ligne/à l'abri de l'air - Les sauvegardes en ligne peuvent avoir été ciblées.
• Vérifier l'intégrité de la sauvegarde avant la restauration
• Supposez que les informations d'identification sont compromises - Réinitialisez tous les mots de passe, en particulier ceux des comptes d'administrateur de domaine.
• Auditer tous les supports amovibles susceptibles d'avoir été connectés aux systèmes concernés.

Conclusion

Les attaques de décembre 2025 contre le secteur de l'énergie en Pologne représentent une escalade significative dans les opérations cybernétiques destructrices contre les infrastructures critiques. DYNOWIPER, bien qu'il ne soit pas techniquement sophistiqué, s'est avéré efficace pour la destruction rapide des données lorsqu'il est associé à l'accès prépositionné étendu de l'acteur de la menace.

Cet incident souligne l'importance des stratégies de défense en profondeur, en particulier des capacités de détection comportementale qui permettent d'identifier les logiciels malveillants destructeurs, quelle que soit leur nouveauté. La protection contre les ransomwares d'Elastic Defend, en particulier sa surveillance des fichiers canaris, s'est avérée efficace pour détecter et bloquer DYNOWIPER avant qu'il ne puisse accomplir sa mission destructrice.

Les organisations des secteurs d'infrastructures critiques devraient revoir leur posture de sécurité par rapport aux TTP documentées dans ce rapport et l'analyse complète de CERT Polska.

---

Références

• CERT Polska : Rapport d'incidents dans le secteur de l'énergie - 29 Décembre

• Cisco Talos : Toundra statique
• FBI IC3 : PSA250820

MITRE ATT&CK Mapping