ESET: Russiske wiper-angreb rammer ukrainske universiteter og kornsektor

Eskil Sørensen

11.07.2025 11:16

Sandworm intensiverer destruktiv cyberkrigsførelse

En ny rapport fra cybersikkerhedsfirmaet ESET dokumenterer, hvordan den russiske hackergruppe Sandworm, tilknyttet en af de russiske efterretningstjenester, GRU, har intensiveret sine destruktive cyberangreb mod Ukraine i 2025. Rapporten er beskrevet i en artikel af mediet Ars Technica og afslører en række målrettede angreb med wipers – malware designet til at slette data og ødelægge systemer permanent.

Universiteter som frontlinjemål

I april ramte Sandworm et ukrainsk universitet med to wipers: Sting og Zerlot. Sting blev aktiveret via en planlagt opgave med navnet DavaniGulyashaSdeshka – et russisk slangudtryk, der ironisk nok betyder “spis noget gullash”. Bag navnet gemmer sig en alvorlig funktion: total datadestruktion på Windows-systemer.

Angrebet understreger, at universiteter ikke blot er sekundære mål, men en aktiv del af den digitale krigsførelse.

Kornindustrien som strategisk mål

I juni og september blev yderligere wiper-varianter anvendt mod ukrainske myndigheder, energisektoren og logistikvirksomheder. Men ifølge ESET er det særligt angrebene mod kornsektoren, der vækker opsigt. Korn er en af Ukraines vigtigste eksportvarer, og angrebene tolkes som forsøg på at svække landets krigsøkonomi.

Samarbejde mellem russiske grupper – trods rivalisering

Sandworm har i flere tilfælde samarbejdet med andre russiske grupper, herunder UAC-0099, som har leveret initial adgang via spear phishing. Andre grupper som RomCom og Gamaredon har også været aktive med wiper-angreb og zero-day udnyttelser – bl.a. i WinRAR.

Samarbejdet mellem grupperne er usædvanligt, skriver Ars Technica, da der normalt er intern rivalisering. Det kan tyde på en mere koordineret indsats fra russisk side.

Selvom angrebene er rettet mod Ukraine, er ingen grund til at tro, at det ikke spreder mod vest. Fx. ved vi, at uddannelses- og forskningssektoren er attraktive mål for såvel spionage som cyberkriminalitet. Om det samme gælder for sabotage, altså destruktion som i dette tilfælde er mere uklart, da destruktion ødelægger forretningsgrundlaget for spionage. Vi ved dog også, at wipers kan sprede sig utilsigtet, som det skete med NotPetya i 2017. Endelig er der det forhold, at samarbejde mellem trusselsaktører øger kompleksiteten og gør det sværere at opdage og afværge angreb.

Set i lyset af den intensiverede angrebskampagne er der ingen grund til ikke at segmentere og isolere kritiske systemer, overvåge tegn på destruktiv malware, styrke phishing-beskyttelse og patche software hurtigt – især værktøjer med kendte sårbarheder.

Læs mere

https://arstechnica.com/security/2025/11/wipers-from-russias-most-cut-throat-hackers-rain-destruction-on-ukraine/

Trusselsvurdering