Sabato 04 Luglio 2026 19:38:51 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Industrial Cybersecurity & Critical Infrastructure

Gioco di potere: il nuovo malware wiper di Sandworm, legato alla Russia, prende di mira la rete energetica della Polonia

Pubblicato: 26 Gennaio 2026 11:31Categoria: Industrial Cybersecurity & Critical InfrastructureArea: EuropeAutore: AGONY

Sottotitolo: Gli investigatori informatici ricostruiscono un grave attacco all’infrastruttura elettrica polacca fino al famigerato gruppo Sandworm, rivelando un modello decennale di sabotaggio digitale.

In una gelida notte di dicembre del 2025, mentre gran parte della Polonia si preparava alle festività, qualcosa di sinistro ha attraversato le vene digitali del Paese. Un’offensiva informatica furtiva ha preso di mira il cuore della rete elettrica polacca, distribuendo un nuovo e misterioso malware progettato non per rubare, ma per distruggere. Ora, gli investigatori di cybersicurezza di ESET ritengono di aver risolto il caso: le impronte portano dritte a Sandworm, il famigerato collettivo di hacker allineato alla Russia con una spiccata inclinazione a colpire le infrastrutture critiche.

Fatti in breve

  • L’attacco ha colpito la rete elettrica polacca a fine dicembre 2025, usando il nuovo malware “DynoWiper”.
  • ESET attribuisce l’operazione al gruppo Sandworm legato alla Russia con “media confidenza”.
  • Nessuna interruzione di corrente confermata, ma l’attacco segna la più grande offensiva cyber contro il settore energetico polacco degli ultimi anni.
  • Il colpo ha coinciso con il 10° anniversario del blackout storico di Sandworm in Ucraina.
  • Sandworm resta attivo nel prendere di mira infrastrutture critiche in tutta Europa, soprattutto in Ucraina.

Dentro l’attacco: ritorna un nemico familiare

L’assalto di dicembre presentava tutti i tratti distintivi di una campagna Sandworm: malware di cancellazione dati, tempistiche accuratamente coordinate e un focus sulle infrastrutture nazionali. Il team forense di ESET ha identificato rapidamente il colpevole-DynoWiper, un programma distruttivo progettato per cancellare file e paralizzare i sistemi bersaglio. Questa nuova variante di malware è stata rilevata come Win32/KillFiles.NMO, riecheggiando la famigerata storia di Sandworm con wiper come BlackEnergy e KillDisk.

Ma questo era più di un’impresa tecnica. La data dell’attacco-dieci anni esatti, a una settimana di distanza, dal blackout senza precedenti del 2015 in Ucraina attribuito a Sandworm-sembra deliberata. Allora, oltre 230.000 ucraini furono precipitati nell’oscurità quando il malware di Sandworm sabotò le sottostazioni elettriche. Da allora, il gruppo ha affinato il proprio arsenale e spostato il mirino in tutta Europa, con la Polonia ora nel suo mirino.

Nonostante la sofisticazione tecnica di DynoWiper, le autorità polacche riferiscono che non si è verificata alcuna significativa interruzione della fornitura elettrica. Eppure, il messaggio era chiaro: Sandworm è disposto ed è in grado di mettere alla prova le difese delle arterie energetiche dell’Europa.

Gli analisti di cybersicurezza avvertono che questi attacchi raramente sono isolati. Indagini recenti rivelano che hacker legati alla Russia hanno mantenuto accessi persistenti alle reti europee, spesso usando tecniche di “living-off-the-land”-sfruttando strumenti software legittimi per mimetizzarsi ed evitare il rilevamento. In Ucraina, l’impronta digitale di Sandworm è particolarmente pervasiva, con regolari attacchi wiper mirati a destabilizzare servizi critici.

L’attribuzione di ESET arriva con “media confidenza”, riflettendo il mondo opaco della cyber-forense, dove gli attaccanti riciclano spesso codice e tattiche. Gli analisti invitano alla cautela nel tracciare linee dirette tra campioni di malware e specifici incidenti, ma lo schema è difficile da ignorare: ovunque vada Sandworm, segue il caos.

Conclusione: segnali d’allarme sulla rete

Anche se questa volta le luci in Polonia sono rimaste accese, il tentato sabotaggio è un duro promemoria dei crescenti rischi cyber che incombono sulle infrastrutture europee. Mentre Sandworm segna un decennio di disruption digitale, i difensori devono restare vigili. Ogni nuovo attacco-che abbia successo o meno-funge sia da avvertimento sia da lezione nell’arte in evoluzione della guerra informatica.

WIKICROOK

  • Malware wiper: Il malware wiper è un software malevolo che elimina o corrompe in modo permanente i file, rendendo impossibile il recupero e causando gravi perdite di dati o interruzioni dei sistemi.
  • APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.
  • Living: Living off the Land significa che gli attaccanti usano strumenti di sistema fidati (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
  • Attribuzione: L’attribuzione è il processo di determinare chi c’è dietro un attacco informatico, usando indizi tecnici e analisi per identificare il responsabile.
  • Infrastruttura critica: L’infrastruttura critica include sistemi chiave-come energia, acqua e sanità-il cui guasto interromperebbe gravemente la società o l’economia.