Od listopada 2022 roku rosyjska grupa Sandworm prowadziła ataki sabotujące działania polskich firm logistycznych i transportowych – informuje Eset. Na pierwszy rzut oka wyglądały na typowe ataki ransomware. Przestępcy włamywali się do firmowych systemów i blokowali dostęp, żądając okupu za jego przywrócenie. Jednak nie był to standardowy ransomware, bo napastnicy kasowali dane. Ofiarami ataków padły setki komputerów w wielu polskich firmach. Do czego zostały wykorzystane przejęte dane, tego pewnie zdaniem ekspertów nie dowiemy się nigdy.

Atak był wymierzony również w ukraińskie firmy. Wielokrotnie zdarzało się już, że akcje prokremlowskich grup, nakierowane na Ukrainę, rozlewały się i inne kraje, które dostawały niejako rykoszetem. Tym razem na pewno uderzenie w polskie firmy było celowe.

„Inne, obserwowane do tej pory zagrożenia, albo miały wbudowane mechanizmy samodzielnego, nieograniczonego rozprzestrzeniania się, albo były rozsyłane na masową skalę. W przeciwieństwie do nich, ataki z wykorzystaniem oprogramowania ransomware Prestige były bardzo ukierunkowanymi włamaniami do sieci firmowych w celu zakłócenia ich działania” – wyjaśnia Robert Lipovsky, Principal Threat Intelligence Researcher w Esecie.

Sandworm jest uważana za grupę powiązaną z rosyjskim wywiadem wojskowym GRU. Jesienią 2022 r. przypisuje się jej ataki na infrastrukturę energetyczną Ukrainy.

W 2022 r. według FBI Sandworm umieszczał malware w firewallach WatchGuarda, co pozwoliłoby na kontrolowanie tych urządzeń w sieci botnetu. Służby wykryły i udaremniły tę operację.

Grupa miała też przeprowadzać ataki z użyciem malware’a NotPetya na Ukrainie w 2017 r., podczas wyborów prezydenckich we Francji w 2017 r. oraz w czasie otwarcia zimowych igrzysk olimpijskich w Korei Płd. w 2018 r.