在我们之前的博客中,我们分析了2024年至2026年初期间发生的重大工业控制系统(ICS)和运营技术(OT)网络攻击。其中一个显著趋势是:数据擦除器已成为国家支持的黑客针对运营技术环境的首选武器。2024年至2025年间,共有六起独立的数据擦除攻击活动影响了全球范围内的工业领域,包括电网、供水系统、医疗保健和制造业。
本文将详细探讨这一趋势。文章阐述了Wiper类恶意软件为何在OT环境中如此有效,回顾了三起真实案例,并揭示了其背后一致的攻击模式。在撰写本文期间,又出现了一个新案例。最近报告的一起威胁事件——Lotus Wiper——将目标锁定在委内瑞拉的能源行业。该案例已收录在最后一节中。
为什么Wipers会成为OT攻击的首选武器?
擦除型恶意软件的设计初衷是销毁数据,这使其与勒索软件有着本质区别。由于无法用于勒索,对于纯粹以牟利为目的的威胁行为者而言,这类软件并非有效工具。相反,对于那些旨在制造混乱或造成破坏的行为者来说,这类软件却极为有效,尤其是在试图将网络行动转化为现实世界影响的同时,又能保持高度匿名性的情况下。正因如此,擦除型恶意软件通常与国家支持的活动相关联。
在传统的IT环境中,数据擦除工具主要针对文件进行破坏。虽然这可能会造成严重干扰,但只要有可靠的备份,通常可以恢复数据。然而,在OT和ICS环境中,情况则大不相同。 SCADA服务器、工程工作站和HMI显示屏等系统不仅用于存储数据,更承担着主动控制和监控物理流程的职责。一旦这些系统上的数据遭到破坏,操作人员将丧失对运行状况的可见性和控制权,实际上等同于对现场发生的情况完全失明。
正因如此,数据擦除工具才显得尤为危险。它们能够将网络攻击与实际后果联系起来。正因具备这种能力,国家支持的攻击者经常利用数据擦除工具。在发生武装冲突或地缘政治紧张局势加剧的地区,这类工具的使用屡见不鲜,而破坏正是其主要目的。
Wiper 恶意软件采用的四阶段攻击策略
每一种被分析过的Wiper病毒,无论其使用何种语言、运行在何种平台上,或是技术复杂程度如何,都遵循相同的基本模式。了解这些阶段是防御Wiper攻击的切实起点。
第一阶段:初始化
数据擦除程序准备其数据破坏有效载荷,通常使用常见的随机数生成器生成伪随机数据。与用零覆盖相比,随机数据会使取证恢复更加困难。
第二阶段:探索
数据清除工具通过枚举驱动器、卷、目录和文件,将所有可清除的对象进行映射。
第三阶段:破坏
清除工具会打开每个文件,移除其保护属性,并用随机数据覆盖文件内容。有些工具随后还会删除文件。还有些工具会针对主引导记录(MBR)或主文件表(MFT)进行攻击,导致整个磁盘无法读取。
第4阶段:防恢复
强制重启将锁定已造成的损害。该清除程序会提升权限、获取关机权限,并重启系统。一旦系统重新启动(如果还能启动的话),将没有任何数据可供恢复。
下一节将把本操作指南应用于实际事件。
运营技术(OT)环境中的实际Wiper攻击是什么样子的?
DynoWiper — 波兰国家电网
攻击者:Sandworm/ELECTRUM(GRU)
目标:波兰,能源行业(分布式能源资源)
传播方式:通过遭入侵的网络传播Windows可执行文件(PE二进制文件)
2025年12月,俄罗斯总参谋部情报总局(GRU)旗下最擅长攻击工业控制系统(ICS)的“沙虫”(Sandworm)小组,利用“DynoWiper”病毒对波兰的电力基础设施发动了攻击。据Dragos称,这是首次针对分布式能源资源(DER)的大规模协同网络攻击。
约有30个站点受到影响,其中包括热电联产电站、风电场和太阳能调度系统。与以往主要针对集中式发电站的攻击不同,此次行动的目标是规模较小、分布广泛的设施——这类设施在现代能源市场中正迅速扩张。此外,此类设施的防御措施通常也较为薄弱。
此次攻击可能影响多达50万居民。波兰总理表示,输电网络并未受到威胁,但攻击者成功入侵了运营技术(OT)系统,并永久性地使部分设备瘫痪。DynoWiper 严格遵循了四阶段攻击流程:生成伪随机有效载荷、驱动器枚举、文件覆盖以及强制重启。它以编译二进制文件的形式运行,旨在系统性地破坏目标系统。
PathWiper — 乌克兰的关键基础设施
攻击者:与俄罗斯有关联(具体单位不详)
目标:乌克兰关键基础设施(多个领域)
传播方式:VBScript 释放器与可执行文件组合
作为正在进行的战时网络行动的一部分,一个与俄罗斯有关联的攻击者将PathWiper部署到了乌克兰的关键基础设施上。与针对特定行业的DynoWiper不同,PathWiper的攻击范围更为广泛,在冲突期间影响了多项关键服务。
其独特之处在于销毁的彻底性。PathWiper 不仅会覆盖文件,还会从卷级别彻底销毁本地存储。在实战中,抹除管理关键服务的系统所造成的后果远不止于数据丢失。
虽然同样包含这四个阶段,但PathWiper在破坏阶段的力度远超大多数同类工具。它针对的是卷级存储而非单个文件,从而确保即使进行部分取证恢复也几乎不可能成功。其目的是彻底抹除,不仅要清除数据,还要摧毁系统的运行能力。
LazyWiper — 波兰制造业
攻击者:Sandworm/ELECTRUM(GRU)
目标:波兰,制造业
传播方式:通过组策略对象(GPO)推送PowerShell脚本
“LazyWiper”并非独立的攻击行动。它与“DynoWiper”在同一天(2025年12月29日)发动攻击,是同一项协同行动的一部分。不过,其攻击目标是一家制造企业,波兰计算机应急响应小组(CERT Polska)将其评估为一次机会主义攻击。攻击者发现了一个暴露的入口点,并利用了该漏洞。
该入侵入口是一台Fortinet设备,其配置信息曾被窃取并发布在犯罪论坛上。 攻击者利用泄露的凭据建立了持久访问通道,随后横向移动获取了域管理员权限,并通过组策略对象(GPO)将 LazyWiper 推送至每台机器。与 DynoWiper 的编译二进制文件不同,LazyWiper 是一个 PowerShell 脚本。它会禁用 Windows Defender,利用 Windows 内置管理工具挂载所有驱动器,将文件重命名为随机四字符名称,并用伪随机数据覆盖这些文件。
有一个细节使得此案例尤为引人注目。CERT Polska评估认为,文件覆盖代码的部分内容很可能是由大型语言模型生成的,这表明现实环境中已出现借助人工智能开发的恶意软件。如果安全人员认为数据擦除型恶意软件总是以传统编译型恶意软件的形式出现,那么LazyWiper一案则凸显了必须将基于脚本和动态生成的威胁纳入考量范围。
为什么每次Wiper攻击都始于文件跨越信任边界?
本博客中提到的每起事件,以及上一份威胁态势报告中提到的每起事件,都有一个共同点:某个文件跨越了信任边界。虽然文件格式和传播方式各不相同,但模式却如出一辙。
- DynoWiper:通过遭入侵的网络传播的 Windows 可执行文件
- PathWiper:一款与可执行文件搭配使用的VBScript释放器
- LazyWiper:通过 GPO 推送的 PowerShell 脚本
OPSWAT Adaptive Sandbox 每个文件到达工程工作站之前、与 SCADA 系统交互之前,以及从 IT 环境进入 OT 环境之前,Sandbox 。该技术并不依赖于观察破坏性行为,而是通过在受控环境中识别恶意功能,从而在文件被信任之前将其拦截。
如果您从事能源、水务、制造业、医疗保健或政府领域的工作,那么无论是否明确纳入考量,擦拭器都是您威胁模型的一部分。
擦除型恶意软件虽会随着新语言、传播方式和攻击目标的出现而不断演变,但其运作模式始终如一:文件必须被接收、进入系统并被执行。从2010年的“震网”(Stuxnet)到2025年的“DynoWiper”,这一规律始终成立。在文件跨越边界之前对其进行检查,是适用于各类擦除型恶意软件、攻击者及各行业的通用防护措施。
委内瑞拉能源部门遭遇最新Wiper网络攻击
就在本文定稿之际,卡巴斯基GReAT团队于4月21日报告称,一种此前未知的数据擦除型恶意软件“Lotus Wiper”正将委内瑞拉的能源和公用事业部门作为攻击目标。
此次攻击有条不紊。两个批处理脚本首先通过禁用服务、终止网络接口以及注销会话来隔离目标机器。随后,它们会擦除磁盘分区、覆盖文件夹,并填满剩余的存储空间。只有在完成这些步骤后,最终的有效载荷才会执行。
该擦除器伪装成合法的企业软件组件,以加密形式分发,并在运行时解密。一旦激活,系统将无法启动,且数据无法恢复。该程序既未提出赎金要求,也无迹象表明其为牟利而窃取数据。与本文中讨论的其他擦除器一样,Lotus Wiper 的设计目的就是破坏。
同样的模式在实时环境中再次出现。一个文件跨越信任边界,执行后摧毁其能够触及的一切。在有效载荷解密之前进行文件级检查,是进行拦截的最早时机。
本分析中引用的雨刮器样本和指标
雨刷 | 类型 | 目标 | 演员 | 哈希 / 指标 |
DynoWiper | Windows PE | 波兰,能源 | 沙虫/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | 乌克兰,关键基础设施 | 与俄罗斯有关 | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | 波兰,制造业 | 沙虫/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
莲花雨刷 | Windows PE | 委内瑞拉,能源与公用事业 | 未知(出于地缘政治动机) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
在Wiper攻击执行前将其拦截
Wiper 攻击在各种环境、行业和威胁行为者之间都遵循着一致的模式。无论攻击如何实施或使用何种语言,其过程都遵循相同的步骤:文件跨越信任边界,执行,并破坏系统数据。
这种一致性为防御提供了明确的机会。在文件被信任之前对其进行识别和分析,仍是阻止擦除型恶意软件造成损害的最有效方法之一。
MetaDefender 采用分层方法来解决这一问题。它结合了实时信誉分析、高级沙箱技术和行为关联分析,可在恶意代码执行前检测未知和具有规避能力的威胁。其基于模拟的分析技术能够揭露隐藏的有效载荷、解包多阶段恶意软件,并在不依赖签名的情况下识别入侵指标。
对于运营关键基础设施的组织而言,这种方法能够在攻击源头实现更早的检测,从而在干扰波及运营技术(OT)系统之前将其遏制。如需了解该方案如何应用于您的环境,请联系OPSWAT 共同探讨MetaDefender 。
