摘要：俄罗斯黑客组织 Sandworm 部署了多个数据擦除恶意软件家族，对乌克兰的教育、政府和粮食部门（该国的主要收入来源）发动了攻击。

俄罗斯黑客组织 Sandworm 部署了多个数据擦除恶意软件家族，对乌克兰的教育、政府和粮食部门（该国的主要收入来源）发动了攻击。

网络安全公司 ESET 在一份报告中称，这些攻击发生在 6 月和 9 月，延续了 Sandworm（又名 APT44）在乌克兰的一系列破坏性行动。

数据擦除器的目的是通过破坏或删除文件、磁盘分区和主引导记录来彻底销毁目标系统的数字信息，使其无法恢复。这种操作对目标系统的影响可能是毁灭性的，造成的破坏难以恢复。

与勒索软件（通常会窃取数据然后加密）不同，擦除恶意软件纯粹用于破坏行动。

俄乌冲突爆发后，乌克兰成为众多数据擦除行动的目标，其中大部分被归咎于俄罗斯国家支持的行动者，包括PathWiper、HermeticWiper、CaddyWiper、Whispergate和IsaacWiper。

ESET 的最新报告涵盖了 2025 年 4 月至 9 月期间的高级持续性威胁 (APT) 活动，并列举了在乌克兰部署的多个攻击工具案例，其中一些针对该国的粮食生产。

这是一个新的发展趋势，攻击者正在将目标转向乌克兰至关重要的经济部门，因为粮食出口是乌克兰的主要收入来源，尤其是在战争期间。

ESET的报告指出，在6月和9月，Sandworm针对活跃于政府、能源、物流和粮食行业的乌克兰实体部署了多个数据擦除恶意软件变种。

“虽然这四个行业都曾被记录为自 2022 年以来遭受过网络攻击的目标，但粮食行业却是一个不太常见的攻击目标。”

“考虑到粮食出口仍然是乌克兰的主要收入来源之一，这种针对性打击很可能反映出削弱该国战时经济的企图。”

APT44 还于 2025 年 4 月部署了名为“ZeroLot”和“Sting”的数据擦除程序，目标是乌克兰的一所大学。“Sting”是通过一个以匈牙利传统菜肴炖牛肉命名的 Windows 计划任务执行的。

值得注意的是，其中一些事件的初始访问权限是由 UAC-0099 获得的，然后 UAC-0099 将访问权限转移给了 APT44 以部署擦除器。

UAC-0099 威胁组织至少从 2023 年就开始活动，并且似乎将攻击目标集中在乌克兰组织上。

研究人员指出，虽然Sandworm 最近更加注重间谍活动，但针对乌克兰实体的数据擦除攻击仍然是该威胁组织的一项持续活动。

许多预防勒索软件的指南也适用于防御数据擦除程序。关键步骤之一是将重要数据备份保存在离线介质上，使其无法被黑客获取。

实施强大的终端检测和入侵防御系统，并保持所有软件更新，可以防止各种攻击，包括数据擦除事件。

完整技术报告下载：

来源：会杀毒的单反狗