Lotus Wiper
Анализатори по киберсигурност са идентифицирали досега недокументиран зловреден софтуер за изтриване на данни, известен като Lotus Wiper, използван при целенасочени атаки срещу енергийния и комуналния сектор на Венецуела между края на 2025 г. и началото на 2026 г. Този зловреден софтуер е предназначен за максимално унищожение, правейки заразените системи напълно неработещи.
Съдържание
Координирано изпълнение на атака: Многоетапно внедряване
Атаката разчита на два пакетни скрипта, които организират внимателно планирана операция. Тези скриптове синхронизират дейностите в мрежата, отслабват системните защити и нарушават нормалните операции, преди да инициират крайния полезен товар. Тяхната роля включва извличане, деобфускация и изпълнение на компонента за изчистване, осигурявайки безпроблемен преход към деструктивната фаза.
Систематично унищожаване: Как работи чистачката Lotus
След активиране, Lotus Wiper изпълнява цялостен процес на унищожаване на данни, който елиминира както системната функционалност, така и опциите за възстановяване. Неговите разрушителни възможности включват:
- Премахване на механизми за възстановяване, включително точки за възстановяване
- Презаписване на сектори на физическия диск с нулирани данни
- Изтриване на файлове във всички монтирани томове
- Изчистване на номерата на последователността за актуализиране (USN) в журнали за томове
Тези действия заедно гарантират, че засегнатите системи не могат да бъдат възстановени или преустроени чрез конвенционални средства.
Индикатори за намерение: Не е финансово мотивирано
За разлика от ransomware, Lotus Wiper не съдържа съобщения за изнудване или инструкции за плащане. Това отсъствие категорично подсказва, че кампанията не е водена от финансови цели, а по-скоро от саботаж или геополитически мотиви. Забележително е, че пробата от зловреден софтуер е качена публично в средата на декември 2025 г. от венецуелска система, малко преди военната активност на САЩ през януари 2026 г. Въпреки че не е потвърдена пряка връзка, времето съвпада с увеличените съобщения за киберактивност, насочена към същия сектор, което показва силно фокусирана операция.
Насочване към остарели системи: Използване на остарели среди
Веригата на атаките започва с пакетен скрипт, който инициира многоетапен процес. Едно от ранните му действия е опит за деактивиране на услугата за откриване на интерактивни услуги на Windows (UI0Detect). Тази услуга, премахната в съвременните версии на Windows след Windows 10 версия 1803, показва, че зловредният софтуер е специално проектиран да атакува по-стари операционни системи.
Скриптът също така проверява за наличие на споделен ресурс NETLOGON и извлича отдалечен XML файл. Той сравнява този файл с локално съхранена версия в директории като C:\lotus или %SystemDrive%\lotus. Това поведение вероятно определя дали системата е част от домейн на Active Directory. Ако отдалеченият файл не е наличен, скриптът се прекратява; в противен случай продължава след евентуално въвеждане на произволно забавяне до 20 минути за повторен опит за свързване.
Подготовка на средата: Деактивиране и нарушаване на системите
Вторият пакетен скрипт подготвя компрометираната система за унищожение, като систематично отслабва нейното оперативно състояние. Действията му включват:
- Изброяване на локални потребителски акаунти и деактивиране на кеширани идентификационни данни
- Излизане от активни потребителски сесии
- Деактивиране на мрежови интерфейси
- Изпълнение на командата diskpart clean all за изтриване на логически дискове
В допълнение, той използва вградени помощни програми на Windows, като robocopy, за да презаписва или изтрива файлове, и fsutil, за да създава големи файлове, които заемат цялото налично дисково пространство, като по този начин ефективно предотвратяват усилията за възстановяване.
Окончателно изпълнение на полезния товар: Необратими щети
След подготовката се разгръща полезният товар Lotus Wiper. Той завършва процеса на унищожаване, като изтрива точки за възстановяване, презаписва физически сектори, изчиства записи в журнала и премахва всички системни файлове в монтираните томове. На този етап възстановяването става практически невъзможно без външни резервни копия.
Защитни препоръки: Мониторинг и смекчаване
Организациите, особено тези в секторите на критичната инфраструктура, трябва да възприемат проактивни стратегии за наблюдение и откриване. Ключовите области на фокус включват:
Наблюдение на промените в споделените ресурси на NETLOGON
Откриване на опити за изтриване на идентификационни данни или ескалация на привилегии
Проследяване на необичайна употреба на оригинални инструменти като fsutil, robocopy и diskpart
Стратегическа проницателност: Доказателство за предварителен компромис
Наличието на функционалност, пригодена за остарели Windows среди, предполага предварително разузнаване и дългосрочен достъп. Нападателите вероятно са имали подробни познания за целевата инфраструктура и може да са компрометирали домейн среди много преди да започнат деструктивната фаза.
