Célpontban az áramellátás
Az ukrán CERT-UA közleménye szerint az Orosz állami támogatásúnak tartott Sandworm ismét támadást kezdeményezett az Ukrán energiaellátás ellen, de azt sikerült elhárítani. A Sandworm csoporthoz kötik a 2016-os BlackEnergy támadást, amivel órákra sikerült leállítani az áramellátást Ukrajnában. A Sandworm állítólag az orosz katonai hírszerzésért felelős szervezet, a GRU orosz kiberkatonai egysége, amely 74455-ös egységként is ismert. A kiberbiztonsági kutatók által több néven is ismerik, így a Telebots, a Voodoo Bear és az Iron Viking.
A támadás során a nagyfeszültségű elektromos alállomásokat az Industroyer2 rosszindulatú programmal, az irányító rendszer számítógépeit a Caddywiper adattörlővel támadták. A támadás két hullámát azonosították a CERT-UA szakemberi, először februárban próbáltak bejutni az elektromos hálózat eszközeibe, majd április 8-án történt nagyobb próbálkozás, de mindkettőt sikeresen elhárították.
A CERT-UA megosztotta az oldalán a támadás azonosításához szükséges mutatókat, de a bizalmasabb adatokat (TLP: AMBER) is elküldték a nemzetközi partnereiknek és az ukrán energiaszolgáltató cégeknek.