- Perché i programmi di tipo Wiper sono l'arma preferita negli attacchi OT?
- Il protocollo in quattro fasi utilizzato dal malware Wiper
- Come si presentano gli attacchi reali ai sistemi di pulizia in ambienti OT?
- Perché ogni attacco Wiper inizia con un file che supera un confine di affidabilità?
- L'ultimo attacco informatico al settore energetico venezuelano
- Campioni e indicatori relativi ai tergicristalli citati nella presente analisi
- Blocca gli attacchi Wiper prima che vengano eseguiti
Nel nostro precedente articolo sul blog abbiamo analizzato i principali attacchi informatici contro sistemi ICS e OT verificatisi dal 2024 fino all’inizio del 2026. È emersa una tendenza evidente: i wiper sono diventati l’arma preferita dagli attori sponsorizzati dallo Stato che prendono di mira gli ambienti di tecnologia operativa. Nel periodo 2024-2025, sei distinte campagne di attacchi wiper hanno colpito diversi settori industriali in tutto il mondo, tra cui le reti elettriche, i sistemi idrici, la sanità e l’industria manifatturiera.
Questo articolo analizza tale tendenza in dettaglio. Spiega perché i wiper sono efficaci negli ambienti OT, esamina tre casi reali e individua lo schema di attacco ricorrente che li accomuna. Mentre scrivevo questo articolo, è emerso un altro esempio. Una minaccia segnalata di recente, Lotus Wiper, ha preso di mira il settore energetico venezuelano. Tale caso è trattato nell'ultima sezione.
Perché i programmi di tipo Wiper sono l'arma preferita negli attacchi OT?
I wiper sono progettati per distruggere i dati, il che li rende fondamentalmente diversi dai ransomware. Poiché non consentono l'estorsione, non rappresentano uno strumento utile per gli autori di minacce mossi esclusivamente dal guadagno economico. Sono invece estremamente efficaci per gli autori il cui obiettivo è causare disagi o danni, in particolare quando mirano a tradurre le operazioni informatiche in un impatto nel mondo reale, mantenendo al contempo un elevato grado di anonimato. Per questo motivo, i wiper sono comunemente associati ad attività sponsorizzate dallo Stato.
Negli ambienti IT tradizionali, i programmi di cancellazione dei dati (wiper) distruggono principalmente i file. Sebbene ciò possa causare gravi interruzioni, l’impatto è spesso recuperabile se sono presenti backup affidabili. Tuttavia, la situazione è diversa negli ambienti OT e ICS. Sistemi come i server SCADA, le workstation di ingegneria e i display HMI non si limitano a memorizzare dati. Essi controllano e monitorano attivamente i processi fisici. Quando i dati su questi sistemi vengono distrutti, gli operatori perdono la visibilità e il controllo sulle operazioni, diventando di fatto ciechi rispetto a ciò che sta accadendo sul campo.
È proprio in questi casi che i programmi di cancellazione diventano particolarmente pericolosi. Essi possono infatti fungere da ponte tra gli attacchi informatici e le conseguenze concrete. Proprio per questa loro capacità, gli attori sostenuti dagli Stati ricorrono spesso a tali programmi. Il loro impiego si osserva spesso in regioni teatro di conflitti armati o caratterizzate da forti tensioni geopolitiche, dove l'obiettivo principale è quello di provocare disordini.
Il protocollo in quattro fasi utilizzato dal malware Wiper
Ogni wiper analizzato, indipendentemente dalla lingua, dalla piattaforma o dal livello di complessità, segue lo stesso schema di base. Comprendere queste fasi costituisce un punto di partenza concreto per difendersi dagli attacchi wiper.
Fase 1: Inizializzazione
Il programma di cancellazione prepara il proprio payload di corruzione, generando solitamente dati pseudo-casuali tramite un comune generatore di numeri casuali. I dati casuali rendono il recupero forense più difficile rispetto alla sovrascrittura con zeri.
Fase 2: Analisi preliminare
Il programma di cancellazione mappa tutti gli elementi che può eliminare, individuando unità, volumi, directory e file.
Fase 3: Distruzione
Il programma di cancellazione apre ogni file, rimuove gli attributi di protezione e lo sovrascrive con dati casuali. Alcuni programmi cancellano anche i file in seguito. Altri prendono di mira il Master Boot Record (MBR) o la Master File Table (MFT), rendendo l'intero disco illeggibile.
Fase 4: Anti-ripristino
Un riavvio forzato rende irreversibili i danni. Il programma di cancellazione eleva i propri privilegi, ottiene i diritti di spegnimento e riavvia il sistema. Quando, e se, il sistema si riavvia, non rimane nulla da ripristinare.
La sezione seguente illustra l'applicazione di questa guida agli incidenti realmente verificatisi.
Come si presentano gli attacchi reali ai sistemi di pulizia in ambienti OT?
DynoWiper — La rete elettrica della Polonia
Attore: Sandworm/ELECTRUM (GRU)
Obiettivo: Polonia, settore energetico (risorse energetiche distribuite)
Modalità di diffusione: file eseguibile Windows (binario PE) diffuso tramite una rete compromessa
Nel dicembre 2025, Sandworm, l’unità più efficiente del GRU specializzata in sistemi di controllo industriale (ICS), ha preso di mira le infrastrutture elettriche polacche con DynoWiper. Secondo Dragos, si è trattato del primo attacco informatico coordinato su larga scala diretto contro le risorse energetiche distribuite (DER).
Sono stati colpiti circa 30 siti, tra cui centrali di cogenerazione, parchi eolici e impianti solari. A differenza degli attacchi precedenti, che prendevano di mira le centrali elettriche centralizzate, questa operazione ha avuto come obiettivo strutture più piccole e distribuite, in rapida espansione nei mercati energetici moderni. Questi ambienti sono inoltre generalmente meno protetti.
L'attacco potrebbe aver colpito fino a 500.000 residenti. Il primo ministro polacco ha dichiarato che la rete di trasmissione non era a rischio, ma che gli autori dell'attacco sono riusciti a penetrare nei sistemi OT e hanno disattivato in modo permanente alcune apparecchiature. DynoWiper ha seguito alla lettera il piano d'azione in quattro fasi: generazione di payload pseudo-casuali, enumerazione delle unità, sovrascrittura dei file e riavvio forzato. È stato eseguito come binario compilato progettato per la distruzione sistematica.
PathWiper — Le infrastrutture critiche dell'Ucraina
Attore: Russia-nexus (unità non specificata)
Obiettivo: Ucraina, infrastrutture critiche (diversi settori)
Modalità di diffusione: dropper VBScript abbinato a un file eseguibile
PathWiper è stato impiegato contro le infrastrutture critiche ucraine da un attore legato alla Russia nell'ambito di una campagna informatica in corso in tempo di guerra. Mentre DynoWiper ha preso di mira un settore specifico, PathWiper ha colpito le infrastrutture critiche in senso più ampio, compromettendo diversi servizi essenziali durante il conflitto in corso.
Ciò che lo contraddistingue è la completezza della distruzione. PathWiper non si limita a sovrascrivere i file, ma distrugge l'archivio locale a livello di volume. In una guerra in corso, la cancellazione dei sistemi che gestiscono i servizi essenziali comporta conseguenze che vanno ben oltre la semplice perdita di dati.
Si applicano le stesse quattro fasi, ma PathWiper porta la fase di distruzione oltre i limiti rispetto alla maggior parte dei sistemi. Agendo a livello di volume di archiviazione anziché sui singoli file, garantisce che anche un recupero forense parziale sia di fatto impossibile. L'obiettivo è la cancellazione totale, non solo dei dati, ma anche della capacità del sistema di funzionare.
LazyWiper — Il settore manifatturiero polacco
Attore: Sandworm/ELECTRUM (GRU)
Obiettivo: Polonia, settore manifatturiero
Modalità di diffusione: script PowerShell distribuito tramite oggetti Criteri di gruppo (GPO)
LazyWiper non era una campagna a sé stante. Ha colpito lo stesso giorno di DynoWiper, il 29 dicembre 2025, nell’ambito della stessa operazione coordinata. Tuttavia, ha preso di mira un’azienda manifatturiera e il CERT Polska l’ha definita un attacco opportunistico. Gli autori dell’attacco hanno individuato un punto di accesso vulnerabile e lo hanno sfruttato.
Quel punto di accesso era un dispositivo Fortinet la cui configurazione era stata rubata e pubblicata su un forum criminale. Gli aggressori hanno utilizzato le credenziali trapelate per stabilire un accesso persistente, si sono spostati lateralmente fino a ottenere i privilegi di amministratore di dominio e hanno distribuito LazyWiper su ogni macchina tramite GPO. A differenza del binario compilato di DynoWiper, LazyWiper è uno script PowerShell. Disabilita Defender, utilizza gli strumenti di gestione integrati di Windows per mappare tutte le unità, rinomina i file con nomi casuali di quattro caratteri e li sovrascrive con dati pseudo-casuali.
Un particolare rende questo caso particolarmente degno di nota. CERT Polska ha valutato che alcune parti del codice responsabile della sovrascrittura dei file siano state probabilmente generate da un modello linguistico di grandi dimensioni, il che indica lo sviluppo di malware assistito dall'intelligenza artificiale in circolazione. Se gli esperti di sicurezza ritengono che i "wiper" si presentino sempre sotto forma di malware compilato tradizionale, LazyWiper evidenzia la necessità di tenere conto delle minacce basate su script e generate dinamicamente.
Perché ogni attacco Wiper inizia con un file che supera un confine di affidabilità?
Ogni episodio descritto in questo blog, così come ogni episodio riportato nel precedente rapporto sul panorama delle minacce, presenta una costante: un file ha oltrepassato un confine di affidabilità. I formati e i metodi di trasmissione possono variare, ma lo schema è sempre lo stesso.
- DynoWiper: file eseguibile di Windows diffuso tramite una rete compromessa
- PathWiper: un dropper VBScript abbinato a un eseguibile
- LazyWiper: script PowerShell distribuito tramite GPO
Sandbox Adaptive Sandbox OPSWATSandbox ogni file a ogni confine di affidabilità prima che raggiunga la workstation dei tecnici, prima che interagisca con il sistema SCADA e prima che passi dall'IT all'OT. Non si basa sull'osservazione di comportamenti distruttivi, ma identifica le funzionalità dannose in un ambiente controllato prima che il file venga considerato affidabile.
Se la vostra azienda opera nei settori dell'energia, dell'acqua, della produzione, della sanità o della pubblica amministrazione, gli "wiper" fanno parte del vostro modello di minaccia, che ne teniate conto esplicitamente o meno.
I wiper si evolveranno con nuovi linguaggi, modalità di diffusione e obiettivi, ma lo schema rimane invariato. Un file deve arrivare, raggiungere un sistema ed essere eseguito. Questo vale da Stuxnet nel 2010 a DynoWiper nel 2025. L'ispezione del file prima che attraversi il confine è una misura di controllo applicabile a tutti i wiper, gli autori degli attacchi e i settori.
L'ultimo attacco informatico al settore energetico venezuelano
Mentre questo articolo veniva messo a punto, il 21 aprile Kaspersky GReAT ha segnalato un wiper finora sconosciuto, denominato Lotus Wiper, che prendeva di mira il settore energetico e dei servizi pubblici del Venezuela.
L'attacco è meticoloso. Due script batch isolano innanzitutto il computer disabilitando i servizi, disattivando le interfacce di rete e chiudendo le sessioni. Successivamente cancellano i volumi del disco, sovrascrivono le cartelle e riempiono lo spazio di archiviazione rimanente. Solo dopo questi passaggi viene eseguito il payload finale.
Il wiper si presenta come un componente software aziendale legittimo, viene distribuito in forma crittografata e decrittografato al momento dell'esecuzione. Una volta attivato, il sistema non è più avviabile e i dati risultano irrecuperabili. Non vi è alcuna richiesta di riscatto né alcuna indicazione di esfiltrazione di dati a scopo di lucro. Come gli altri wiper trattati in questo articolo, Lotus Wiper è progettato esclusivamente per la distruzione.
Lo stesso schema si ripete in tempo reale. Un file supera un confine di sicurezza, viene eseguito e distrugge tutto ciò che riesce a raggiungere. L'ispezione a livello di file prima che il payload venga decrittografato rappresenta la prima occasione per intercettarlo.
Campioni e indicatori relativi ai tergicristalli citati nella presente analisi
Tergicristallo | Tipo | Destinatario | Attore | Hash / Indicatore |
DynoWiper | Windows PE | Polonia, Energia | Sandworm/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ucraina, infrastrutture critiche | Collegamento con la Russia | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Polonia, Settore manifatturiero | Sandworm/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Tergicristallo Lotus | Windows PE | Venezuela, Energia e servizi pubblici | Sconosciuto (per motivi geopolitici) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Blocca gli attacchi Wiper prima che vengano eseguiti
Gli attacchi Wiper seguono uno schema costante indipendentemente dall'ambiente, dal settore e dagli autori delle minacce. A prescindere dal modo in cui vengono sferrati o dal linguaggio utilizzato, si basano sempre sulla stessa sequenza: un file supera un confine di sicurezza, viene eseguito e distrugge i dati di sistema.
Questa coerenza offre una chiara opportunità di difesa. Identificare e analizzare i file prima che vengano considerati affidabili rimane uno dei modi più efficaci per bloccare i programmi di cancellazione prima che possano causare danni.
MetaDefender adotta un approccio a più livelli per affrontare questo problema. Combina l'analisi della reputazione in tempo reale, il sandboxing avanzato e la correlazione comportamentale per rilevare minacce sconosciute ed evasive prima che vengano eseguite. La sua analisi basata sull'emulazione mette in luce i payload nascosti, decomprime il malware multistadio e identifica gli indicatori di compromissione senza fare affidamento sulle firme.
Per le organizzazioni che gestiscono infrastrutture critiche, questo approccio consente di individuare tempestivamente gli attacchi nel momento stesso in cui hanno inizio, prima che le interruzioni raggiungano i sistemi OT. Per capire come questo si applichi al vostro ambiente, contattate un OPSWAT per discutere MetaDefender .
