SandWorm, APT Hackers Behind NotPetya och Industroyer

SandWorm är en av de mest ökända APT-grupperna (Advanced Persistent Threat). Dess aktiviteter kan spåras tillbaka till 2009, och de har varit inblandade i ett flertal attacker mot enheter och nationer som är motståndare till Ryssland. Cybersäkerhetsexperter tror att SandWorm APT-gruppen kan vara en underavdelning till GRU, Rysslands militära underrättelseenhet. I tidigare kampanjer har SandWorm-hackarna också hänvisats till under aliasen Iron Viking, Telebots och andra.

Under de senaste åren har SandWorm gjort nyheterna otaliga gånger, med användning av destruktiv och ny skadlig programvara som användes i noggrant orkestrerade attacker. Ett av de mest ökända implantaten som SandWorm är förknippad med är NotPetya Ransomware – ett av de första hoten som syftar till att skada Master Boot Record (MBR) istället för enskilda filer. Genom att radera MBR på hårddiskar säkerställde NotPetya Ransomware att de komprometterade systemen inte skulle kunna starta upp alls.

Destruktiv skadlig programvara verkar vara SandWorms specialitet, och de är också ansvariga för användningen av andra högprofilerade torkare som Olympic Destroyer och Industroyer. Den förstnämnde var inblandad i en cyberattack som ägde rum under öppningen av vinter-OS 2018. Under tiden är Industroyer ett skadligt implantat speciellt utformat för att rikta in sig på Industrial Control Systems (ICS) som används i elnätsinstallationer. SandWorm-hackarna använde Industroyer i attacker mot det ukrainska elnätet 2016.

De senaste nyheterna om SandWorm är förknippade med Industroyer2, en efterföljare till det ökända implantatet som de använde 2016. SandWorm-hackarna använde det i april 2022, i en annan attack mot det ukrainska elnätet. Målet med operationen var att utlösa en blackout, precis som den som hackarna hade lyckats iscensätta i december 2015.