DYNOWIPER: Malware destrutivo visa o setor energético da Polônia

Resumo

Em dezembro 29, 2025, uma campanha coordenada de ciberataques destrutivos teve como alvo a infraestrutura energética da Polônia, afetando mais de 30 instalações de energia renovável e uma importante central de cogeração (CHP).
Um malware de limpeza personalizado, apelidado de DYNOWIPER, foi usado para destruir dados de forma irreversível em redes comprometidas.
O CERT Polska atribui a infraestrutura de ataque ao cluster de ameaças que a Cisco denomina Static Tundra, a Crowdstrike chama de Berserk Bear, a Microsoft chama de Ghost Blizzard e a Symantec denomina Dragonfly.
A proteção contra ransomware do Elastic Defend detecta e impede com sucesso a execução do DYNOWIPER usando monitoramento de arquivos canary.

Histórico

A campanha destrutiva coordenada contra infraestruturas energéticas críticas ocorreu em dezembro 29, 2025, durante um período de clima invernal severo na Polónia.

Segundo o relatório da CERT Polska, a campanha teve como alvo:

Mais de 30 parques eólicos e solares em toda a Polônia.
Uma importante central de cogeração que fornece calor para quase meio milhão de clientes.
Uma empresa do setor manufatureiro caracterizada como alvo oportunista

Vetor de ataque

O agente da ameaça teria obtido acesso inicial por meio de dispositivos Fortinet FortiGate expostos à internet antes de 29 de dezembro, explorando as seguintes vulnerabilidades:

Interfaces VPN que permitem autenticação sem autenticação multifator.
Credenciais reutilizadas em várias instalações
Vulnerabilidades históricas em dispositivos sem patches

Os atacantes realizaram um reconhecimento de sistemas de automação industrial durante meses, visando especificamente sistemas SCADA e redes OT. Durante esse período, eles extraíram bancos de dados do Active Directory, configurações do FortiGate e dados relacionados à modernização da rede OT.

Detalhes do DYNOWIPER

A Elastic Security Labs analisou de forma independente uma amostra do DYNOWIPER proveniente de fontes abertas. A amostra é semelhante a uma das variantes documentadas pelo CERT Polska.

Metadados de exemplo

Propriedade	Value
SHA256	`835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5`
SHA1	`4ec3c90846af6b79ee1a5188eefa3fd21f6d4cf6`
MD5	`a727362416834fa63672b87820ff7f27`
Tipo de arquivo	Executável PE32 para Windows (GUI)
Arquitetura	x86 de 32 bits
File Size	167.424 bytes
Compilador	Visual C++ (MSVC)
Data de compilação	2025-12-26 13:51:11 UTC

Mecanismo de destruição

Enumeração de veículos

O malware enumera todas as unidades lógicas (AZ) usando GetLogicalDrives() e tem como alvo apenas os tipos DRIVE_FIXED (discos rígidos) e DRIVE_REMOVABLE (unidades USB, cartões SD).

Corrupção de Arquivos

O DYNOWIPER utiliza um gerador de números pseudoaleatórios Mersenne Twister para gerar dados pseudoaleatórios para corrupção de arquivos. Em vez de sobrescrever arquivos inteiros (o que demanda tempo), ele corrompe arquivos estrategicamente da seguinte forma:

Removendo atributos de proteção de arquivos via SetFileAttributesW(FILE_ATTRIBUTE_NORMAL)
Abrir arquivos com CreateFileW para acesso de leitura/gravação
Sobrescrevendo o cabeçalho do arquivo com 16 bytes de dados aleatórios.
Para arquivos maiores, gera até 4.096 deslocamentos aleatórios e sobrescreve cada um com sequências de 16 bytes.

Essa abordagem permite a corrupção rápida de muitos arquivos, garantindo ao mesmo tempo que os dados sejam irrecuperáveis.

Lista de Exclusão de Diretórios

O malware evita deliberadamente diretórios críticos do sistema para manter a estabilidade do sistema durante o ataque:

windows, system32
program files, program files(x86)
boot, appdata, temp
recycle.bin, $recycle.bin
perflogs, documents and settings

Essa escolha de projeto maximiza a destruição de dados antes que o sistema se torne instável, garantindo que o programa de limpeza complete sua missão.

Reinicialização forçada

Após a conclusão das fases de corrupção e exclusão, DYNOWIPER:

Obtém um token de processo através de OpenProcessToken()
Habilita SeShutdownPrivilege via AdjustTokenPrivileges()
Força a reinicialização do sistema com ExitWindowsEx(EWX_REBOOT | EWX_FORCE)

Características notáveis

O DYNOWIPER se destaca por diversas características:

Sem mecanismo de persistência - O malware não tenta sobreviver a reinicializações.
Sem comunicação C2 - Completamente independente, sem chamadas de retorno de rede.
Sem invocações de comandos do shell - Todas as operações são realizadas através da API do Windows.
Sem técnicas anti-análise - Sem tentativas de evasão de detecção ou depuração.
Caminho PDB característico: C:\Users\vagrant\Documents\Visual Studio 2013\Projects\Source\Release\Source.pdb

O uso de "vagrant" no caminho do PDB sugere que o desenvolvimento ocorreu em um ambiente de máquina virtual gerenciado pelo Vagrant.

Diferenças entre versões

A CERT Polska documentou duas versões do DYNOWIPER (A e B). A amostra que analisamos corresponde à versão A. A versão B removeu a funcionalidade de desligamento do sistema e adicionou um intervalo de 5 segundos entre as fases de corrupção e exclusão.

Proteção elástica de defesa

Durante os testes com amostras do DYNOWIPER, o Elastic Defend detectou e mitigou com sucesso o malware antes que ele pudesse causar danos.

Alerta de detecção

{  
  "message": "Ransomware Prevention Alert",  
  "event": {  
    "code": "ransomware",  
    "action": "canary-activity",  
    "type": ["info", "start", "change", "denied"],  
    "category": ["malware", "intrusion_detection", "process", "file"],  
    "outcome": "success"  
  },  
  "Ransomware": {  
    "feature": "canary",  
    "version": "1.9.0"  
  }  
}

Como funciona a proteção Canary

A proteção contra ransomware do Elastic Defend utiliza arquivos canary (arquivos de isca estrategicamente posicionados) que disparam alertas quando modificados. A abordagem indiscriminada do DYNOWIPER em relação à corrupção de arquivos fez com que ele modificasse um arquivo canary.

Quando o programa de limpeza tentou corromper este arquivo canary, o Elastic Defend entrou em ação imediatamente:

Detectou-se o padrão de modificação suspeito.
Execução adicional bloqueada
Gerou um alerta de ransomware de alta confiança (pontuação de risco: 73)

Embora o Elastic Defend não tenha sido a solução EDR utilizada neste incidente, essa forma de proteção em profundidade foi crucial na intrusão real. De acordo com a CERT Polska, a solução EDR implantada na central CHP, usando a mesma tecnologia de proteção canary destacada acima, interrompeu a sobrescrita de dados em mais de 100 máquinas onde o DYNOWIPER já havia começado a ser executado.

Por que a detecção comportamental é crucial

Malwares destrutivos podem apresentar desafios únicos para minimizar riscos:

Eles podem não estabelecer conexões C2 (sem indicadores de rede).
Eles podem não usar mecanismos de persistência (artefatos forenses limitados)
Eles agem de forma rápida e destrutiva.
A detecção estática baseada em assinaturas pode não detectar novas variantes.

A proteção comportamental, como por meio de arquivos canary, fornece uma camada crucial de defesa que pode detectar malware destrutivo, independentemente de sua novidade.

Indicadores de Compromisso

Hashes de Arquivo (DYNOWIPER)

SHA256	Nome do arquivo
`835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5`	dynacom_update.exe
`65099f306d27c8bcdd7ba3062c012d2471812ec5e06678096394b238210f0f7c`	Fonte.exe
`60c70cdcb1e998bffed2e6e7298e1ab6bb3d90df04e437486c04e77c411cae4b`	schtask.exe
`d1389a1ff652f8ca5576f10e9fa2bf8e8398699ddfc87ddd3e26adb201242160`	schtask.exe

Scripts de Distribuição

SHA256	Nome do arquivo
`8759e79cf3341406564635f3f08b2f333b0547c444735dba54ea6fce8539cf15`	dynacon_update.ps1
`f4e9a3ddb83c53f5b7717af737ab0885abd2f1b89b2c676d3441a793f65ffaee`	exp.ps1

Indicadores de rede

Endereço IP	Contexto
`185.200.177[.]10`	Logins VPN, execução direta do DYNOWIPER
`31.172.71[.]5`	Proxy reverso para exfiltração de dados
`193.200.17[.]163`	logins VPN
`185.82.127[.]20`	logins VPN
`72.62.35[.]76`	VPN e logins do O365

Regra YARA

rule DYNOWIPER {  
    meta: 
        author = "CERT Polska"
        description = "Detects DYNOWIPER data destruction malware"  
        severity = "CRITICAL"  
        reference = "https://mwdb.cert.pl/"  
          
    strings:  
        $a1 = "$recycle.bin" wide  
        $a2 = "program files(x86)" wide  
        $a3 = "perflogs" wide  
        $a4 = "windows\x00" wide  
        $b1 = "Error opening file: " wide  
        $priv = "SeShutdownPrivilege" wide  
        $api1 = "GetLogicalDrives"  
        $api2 = "ExitWindowsEx"  
        $api3 = "AdjustTokenPrivileges"  
          
    condition:  
        uint16(0) == 0x5A4D  
        and filesize < 500KB  
        and 4 of ($a*, $b1)  
        and $priv  
        and 2 of ($api*)  
}

Recomendações

Ações imediatas

Implante proteção comportamental contra ransomware - A detecção baseada apenas em assinaturas é insuficiente contra novos wipers.
Habilite a autenticação multifator (MFA) em todas as soluções de VPN e acesso remoto — os invasores exploraram contas sem MFA.
Auditar as configurações do FortiGate e dos dispositivos de borda - Verificar contas, regras e tarefas agendadas não autorizadas.
Revisar credenciais padrão - Dispositivos industriais (RTUs, IHMs, servidores seriais) geralmente são enviados com senhas padrão.

Oportunidades de Detecção

Monitorar para:

GetLogicalDrives Chamadas de API seguidas por operações em massa de arquivos
SetFileAttributesW chama a configuração FILE_ATTRIBUTE_NORMAL em escala
Elevação de privilégios para SeShutdownPrivilege seguida de ExitWindowsEx
Modificações de GPO que criam tarefas agendadas com privilégios de SISTEMA
Modificações incomuns de arquivos em várias unidades simultaneamente

Considerações sobre a recuperação

Restaurar a partir de backups offline/isolados da internet - Os backups online podem ter sido afetados.
Verifique a integridade do backup antes de restaurá-lo.
Considere que as credenciais foram comprometidas : redefina todas as senhas, especialmente as das contas de administrador de domínio.
Analise todas as mídias removíveis que possam ter sido conectadas aos sistemas afetados.

Conclusão

Os ataques de dezembro 2025 ao setor energético da Polônia representam uma escalada significativa nas operações cibernéticas destrutivas contra infraestruturas críticas. O DYNOWIPER, embora não seja tecnicamente sofisticado, provou ser eficaz na destruição rápida de dados quando combinado com o amplo acesso pré-posicionado do agente da ameaça.

O incidente ressalta a importância de estratégias de defesa em profundidade, particularmente recursos de detecção comportamental que podem identificar malware destrutivo, independentemente de sua novidade. A proteção contra ransomware do Elastic Defend — especificamente seu monitoramento de arquivos canary — provou ser eficaz na detecção e bloqueio do DYNOWIPER antes que ele pudesse concluir sua missão destrutiva.

Organizações em setores de infraestrutura crítica devem rever seu nível de segurança em relação às TTPs (Táticas, Técnicas e Procedimentos) documentadas neste relatório e na análise abrangente do CERT Polska.

Referências

CERT Polska: Relatório de Incidentes no Setor de Energia – 29 de dezembro

Cisco Talos: Tundra Estática
FBI IC3: PSA250820

Mapeamento MITRE ATT&CK

Tática	Técnica	ID
Execução	Tarefa/trabalho agendado	T1053.005
Defense Evasion	Modificação de permissões de arquivos e diretórios	T1222
Descoberta	Descoberta de armazenamento local	T1680
Impacto	Destruição de dados	T1485
Impacto	Desligamento/Reinicialização do sistema	T1529

DYNOWIPER: Malware destrutivo que visa o setor energético da Polônia