Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara Lotuse klaasipuhasti

Lotuse klaasipuhasti

Aastaks Mezo aastal Pahavara
Tõlgi:

Küberjulgeolekuanalüütikud on tuvastanud varem dokumenteerimata andmeid kustutava pahavara, nüüd tuntud kui Lotus Wiper, mida kasutati Venezuela energia- ja kommunaalteenuste sektori vastu suunatud sihipärastes rünnakutes 2025. aasta lõpust kuni 2026. aasta alguseni. See pahavara on loodud maksimaalseks hävitamiseks, muutes nakatunud süsteemid täiesti töövõimetuks.

Koordineeritud rünnaku sooritamine: mitmeastmeline juurutamine

Rünnak tugineb kahele partiiskriptile, mis korraldavad hoolikalt lavastatud operatsiooni. Need skriptid sünkroniseerivad võrgus tegevusi, nõrgestavad süsteemi kaitset ja häirivad tavapärast tööd enne lõpliku koormuse käivitamist. Nende roll hõlmab pühkimiskomponendi hankimist, hägususe vähendamist ja käivitamist, tagades sujuva ülemineku hävitavasse faasi.

Süstemaatiline hävitamine: kuidas Lotus Wiper töötab

Pärast aktiveerimist käivitab Lotus Wiper põhjaliku andmete kustutamise protsessi, mis kõrvaldab nii süsteemi funktsionaalsuse kui ka taastamisvõimalused. Selle hävitavad võimed hõlmavad järgmist:

  • Taastamismehhanismide, sealhulgas taastepunktide eemaldamine
  • Füüsilise draivi sektorite ülekirjutamine nullitud andmetega
  • Failide kustutamine kõigilt ühendatud köidetelt
  • Mahtpäevikutes värskendusjärjekorranumbrite (USN) kustutamine

Need toimingud tagavad ühiselt, et mõjutatud süsteeme ei saa tavapäraste vahenditega taastada ega ümber ehitada.

Kavatsusnäitajad: mitte rahaliselt motiveeritud

Erinevalt lunavarast ei sisalda Lotus Wiper väljapressimisteateid ega maksejuhiseid. See puudumine viitab tugevalt sellele, et kampaaniat ei juhi rahalised eesmärgid, vaid pigem sabotaaž või geopoliitilised motiivid. Tähelepanuväärne on see, et pahavara näidis laaditi avalikult üles 2025. aasta detsembri keskel Venezuela süsteemist, vahetult enne USA sõjalist tegevust 2026. aasta jaanuaris. Kuigi otsest seost pole kinnitatud, langeb ajastus kokku sama sektori vastu suunatud kübertegevuse sagenemisega, mis viitab väga fokuseeritud operatsioonile.

Vananenud süsteemide sihtimine: vananenud keskkondade ärakasutamine

Rünnakuahel algab partiiskriptiga, mis käivitab mitmeastmelise protsessi. Üks selle varajastest toimingutest on katse keelata Windowsi interaktiivsete teenuste tuvastamise teenus (UI0Detect). See teenus, mis on tänapäevastes Windowsi versioonides pärast Windows 10 versiooni 1803 eemaldatud, näitab, et pahavara on spetsiaalselt loodud vanemate operatsioonisüsteemide sihtimiseks.

Skript kontrollib ka NETLOGON-jagamise olemasolu ja hangib XML-faili kaugserverist. See võrdleb seda faili kohalikult salvestatud versiooniga kataloogides, näiteks C:\lotus või %SystemDrive%\lotus. See käitumine määrab tõenäoliselt, kas süsteem on osa Active Directory domeenist. Kui kaugserveri fail pole saadaval, siis skript lõpetab töö; vastasel juhul jätkab see pärast potentsiaalselt kuni 20-minutilise juhusliku viivituse lisamist ühenduse uuesti proovimiseks.

Keskkonna ettevalmistamine: süsteemide keelamine ja häirimine

Teine partii skript valmistab ohustatud süsteemi hävitamiseks ette, nõrgestades süstemaatiliselt selle tööolekut. Selle toimingud hõlmavad järgmist:

  • Kohalike kasutajakontode loetlemine ja vahemällu salvestatud volituste keelamine
  • Aktiivsete kasutajaseansside väljalogimine
  • Võrguliideste keelamine
  • Loogiliste draivide kustutamiseks käsu diskpart clean all käivitamine

Lisaks kasutab see Windowsi loomulikke utiliite, näiteks robocopyt failide ülekirjutamiseks või kustutamiseks ja fsutil'i suurte failide loomiseks, mis hõivavad kogu saadaoleva kettaruumi, takistades tõhusalt taastamispüüdlusi.

Lõplik kasuliku koormuse täitmine: pöördumatu kahju

Pärast ettevalmistust rakendatakse Lotus Wiperi kasulik koormus. See viib hävitamisprotsessi lõpule, kustutades taastepunktid, kirjutades üle füüsilised sektorid, tühjendades päevikukirjed ja eemaldades kõik süsteemifailid ühendatud draividelt. Selles etapis muutub taastamine praktiliselt võimatuks ilma väliste varukoopiateta.

Kaitsemeetmed: jälgimine ja leevendamine

Organisatsioonid, eriti kriitilise infrastruktuuri sektorites tegutsevad, peaksid vastu võtma ennetavaid seire- ja avastamisstrateegiaid. Peamised fookusvaldkonnad on järgmised:

NETLOGON-i ühiskasutuskohtade muudatuste jälgimine
Volituste dumpimise või privileegide eskaleerimise katsete tuvastamine
Natiivsete tööriistade (nt fsutil, robocopy ja diskpart) ebatavalise kasutamise jälgimine

Strateegiline ülevaade: tõendid varasema kompromissi kohta

Vananenud Windowsi keskkondadele kohandatud funktsionaalsuse olemasolu viitab eelnevale luurele ja pikaajalisele juurdepääsule. Ründajatel olid tõenäoliselt sihitud infrastruktuuri kohta üksikasjalikud teadmised ja nad võisid domeenikeskkondi rikkuda juba ammu enne hävitava faasi alustamist.

Trendikas

Kinnitage uue privaatsuse turvavärskenduse e-posti...

Andmepüük, Rämpspost
Ootamatutesse meilidesse, mis nõuavad kiiret tegutsemist, tuleks alati suhtuda ettevaatusega. Küberkurjategijad varjavad pahatahtlikke sõnumeid sageli õigustatud teadeteks, et ära kasutada usaldust ja tekitada paanikat. Oluline on mõista, et sellised petuskeemid nagu „Kinnita uus privaatsusvärskendus” ei ole seotud ühegi õigustatud ettevõtte, organisatsiooni ega üksusega, olenemata sellest, kui...

Enim vaadatud

Laadimine...