Gli hacker russi di Sandworm colpiscono l’industria ucraina del grano con malware wiper

Gli hacker russi Sandworm utilizzano malware wiper contro l’industria cerealicola ucraina.

L’industria cerealicola ucraina è diventata l’ultimo obiettivo della famigerata unità di hacker russi Sandworm, sostenuta dallo Stato, nel quadro dei continui sforzi di Mosca per minare l’economia bellica del Paese.

Secondo una nuova ricerca della società slovacca di sicurezza informatica ESET, tra giugno e settembre il gruppo legato al Cremlino ha utilizzato diversi tipi di malware per cancellare i dati delle organizzazioni ucraine nei settori cerealicolo, energetico, logistico e governativo. Sebbene gli attacchi wiper abbiano colpito frequentemente le infrastrutture ucraine dall’invasione russa, l’industria agricola, fonte fondamentale delle entrate da esportazione del Paese, è stata raramente presa di mira direttamente.

Sandworm, che le agenzie di intelligence occidentali collegano al servizio di intelligence militare russo (GRU), è responsabile di alcuni dei cyberattacchi più dannosi nella storia dell’Ucraina, tra cui il blackout della rete elettrica del 2015, l’epidemia di malware NotPetya del 2017 e l’hacking dello scorso anno del principale fornitore di telecomunicazioni Kyivstar.

ESET ha affermato che le recenti operazioni hanno incluso due wiper, Zerolot e Sting, distribuiti ad aprile contro un’università ucraina, seguiti da ulteriori ondate contro aziende del settore cerealicolo ed energetico. Il malware wiper è progettato per cancellare definitivamente i dati e interrompere le operazioni.

L’azienda ha anche collegato gli attacchi a un altro gruppo di hacker, noto come UAC-0099, che avrebbe effettuato le intrusioni iniziali prima di passare l’accesso a Sandworm. Secondo il team di risposta alle emergenze informatiche dell’Ucraina (CERT-UA), UAC-0099 è attivo almeno dal 2022 e ha preso di mira istituzioni governative e di difesa ucraine in campagne di spionaggio.

“Questi attacchi distruttivi da parte di Sandworm ci ricordano che i wiper rimangono uno strumento frequente degli attori di minaccia allineati con la Russia in Ucraina”, ha affermato ESET.

Sebbene alcuni rapporti suggerissero un passaggio ad attività di spionaggio da parte di tali gruppi alla fine del 2024, i ricercatori hanno affermato che Sandworm ha continuato a condurre regolarmente attacchi wiper contro entità ucraine dall’inizio del 2025.

Le autorità ucraine competenti in materia di sicurezza informatica hanno ripetutamente avvertito che gli attori russi, tra cui Sandworm, spesso coordinano tali operazioni con attacchi missilistici e con droni per amplificarne l’impatto.

Al di là dell’Ucraina, ESET ha osservato che gruppi di hacker russi, tra cui RomCom e Gamaredon, continuano a prendere di mira gli Stati membri dell’Unione Europea, concentrandosi spesso su entità legate alle reti di difesa o logistiche dell’Ucraina.

“Anche obiettivi non ucraini presentano spesso alcuni legami evidenti con l’Ucraina e il suo sforzo bellico complessivo”, hanno scritto i ricercatori, “suggerendo fortemente che il conflitto continui a mobilitare la maggior parte dell’attenzione e delle risorse dell’intelligence russa”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione