Lotus Wiper

تحلیلگران امنیت سایبری یک بدافزار پاک‌کننده‌ی داده‌های ثبت‌نشده که اکنون با نام Lotus Wiper شناخته می‌شود را شناسایی کرده‌اند که در حملات هدفمند علیه بخش انرژی و خدمات رفاهی ونزوئلا بین اواخر سال ۲۰۲۵ و اوایل سال ۲۰۲۶ به کار گرفته شده است. این بدافزار برای حداکثر تخریب طراحی شده است و سیستم‌های آلوده را کاملاً از کار می‌اندازد.

اجرای حمله هماهنگ: استقرار چند مرحله‌ای

این حمله به دو اسکریپت دسته‌ای متکی است که یک عملیات با دقت مرحله‌بندی‌شده را هماهنگ می‌کنند. این اسکریپت‌ها فعالیت‌ها را در سراسر شبکه همگام‌سازی می‌کنند، دفاع سیستم را تضعیف می‌کنند و عملیات عادی را قبل از شروع بار داده نهایی مختل می‌کنند. نقش آنها شامل بازیابی، رمزگشایی و اجرای مؤلفه پاک‌کننده است که انتقال یکپارچه به مرحله مخرب را تضمین می‌کند.

تخریب سیستماتیک: نحوه عملکرد برف‌پاک‌کن لوتوس

پس از فعال شدن، Lotus Wiper یک فرآیند جامع ریشه‌کنی داده‌ها را اجرا می‌کند که هم عملکرد سیستم و هم گزینه‌های بازیابی را از بین می‌برد. قابلیت‌های مخرب آن عبارتند از:

• حذف مکانیسم‌های بازیابی، از جمله نقاط بازیابی
• بازنویسی سکتورهای فیزیکی درایو با داده‌های صفر
• حذف فایل‌ها در تمام درایوهای نصب‌شده
• پاکسازی شماره‌های توالی به‌روزرسانی (USN) در ژورنال‌های جلد

این اقدامات در مجموع تضمین می‌کنند که سیستم‌های آسیب‌دیده را نمی‌توان از طریق روش‌های مرسوم بازیابی یا بازسازی کرد.

شاخص‌های نیت: انگیزه مالی ندارد

برخلاف باج‌افزار، Lotus Wiper هیچ پیام اخاذی یا دستورالعمل پرداختی ندارد. این فقدان پیام قویاً نشان می‌دهد که این کمپین نه با اهداف مالی، بلکه با انگیزه‌های خرابکارانه یا ژئوپلیتیکی هدایت می‌شود. نکته قابل توجه این است که نمونه بدافزار در اواسط دسامبر 2025 از یک سیستم ونزوئلایی، کمی قبل از فعالیت نظامی ایالات متحده در ژانویه 2026، به صورت عمومی بارگذاری شد. اگرچه هیچ ارتباط مستقیمی تأیید نشده است، اما زمان‌بندی آن با افزایش گزارش‌های فعالیت سایبری که همان بخش را هدف قرار داده است، همزمان شده است که نشان دهنده یک عملیات بسیار متمرکز است.

هدف قرار دادن سیستم‌های قدیمی: بهره‌برداری از محیط‌های منسوخ‌شده

زنجیره حمله با یک اسکریپت دسته‌ای آغاز می‌شود که یک فرآیند چند مرحله‌ای را آغاز می‌کند. یکی از اقدامات اولیه آن، تلاش برای غیرفعال کردن سرویس تشخیص سرویس‌های تعاملی ویندوز (UI0Detect) است. این سرویس که در نسخه‌های مدرن ویندوز پس از نسخه ۱۸۰۳ ویندوز ۱۰ حذف شده است، نشان می‌دهد که این بدافزار به طور خاص برای هدف قرار دادن سیستم عامل‌های قدیمی‌تر طراحی شده است.

این اسکریپت همچنین وجود یک فایل اشتراکی NETLOGON را بررسی کرده و یک فایل XML از راه دور را بازیابی می‌کند. این فایل را با یک نسخه ذخیره شده محلی در دایرکتوری‌هایی مانند C:\lotus یا %SystemDrive%\lotus مقایسه می‌کند. این رفتار احتمالاً تعیین می‌کند که آیا سیستم بخشی از یک دامنه Active Directory است یا خیر. اگر فایل از راه دور در دسترس نباشد، اسکریپت خاتمه می‌یابد؛ در غیر این صورت، پس از ایجاد یک تأخیر تصادفی تا 20 دقیقه برای تلاش مجدد اتصال، ادامه می‌یابد.

آماده‌سازی محیط: غیرفعال کردن و مختل کردن سیستم‌ها

اسکریپت دسته دوم، سیستم مورد نفوذ را با تضعیف سیستماتیک وضعیت عملیاتی آن، برای تخریب آماده می‌کند. اقدامات آن شامل موارد زیر است:

• شمارش حساب‌های کاربری محلی و غیرفعال کردن اعتبارنامه‌های ذخیره‌شده در حافظه پنهان
• خروج از جلسات فعال کاربر
• غیرفعال کردن رابط‌های شبکه
• اجرای دستور diskpart clean all برای پاک کردن درایوهای منطقی

علاوه بر این، از ابزارهای بومی ویندوز مانند robocopy برای بازنویسی یا حذف فایل‌ها و از fsutil برای ایجاد فایل‌های بزرگی که تمام فضای دیسک موجود را اشغال می‌کنند، بهره می‌برد و عملاً مانع از تلاش‌های بازیابی می‌شود.

اجرای نهایی بار داده: آسیب جبران‌ناپذیر

پس از آماده‌سازی، بدافزار Lotus Wiper مستقر می‌شود. این بدافزار فرآیند تخریب را با حذف نقاط بازیابی، رونویسی بخش‌های فیزیکی، پاک کردن رکوردهای ژورنال و حذف تمام فایل‌های سیستمی در درایوهای نصب‌شده تکمیل می‌کند. در این مرحله، بازیابی بدون پشتیبان‌گیری خارجی عملاً غیرممکن می‌شود.

توصیه‌های دفاعی: نظارت و کاهش آسیب

سازمان‌ها، به ویژه سازمان‌های فعال در بخش‌های زیرساخت‌های حیاتی، باید استراتژی‌های نظارت و تشخیص پیشگیرانه را اتخاذ کنند. حوزه‌های کلیدی تمرکز عبارتند از:

نظارت بر تغییرات در اشتراک‌گذاری‌های NETLOGON
تشخیص آزادسازی اعتبارنامه‌ها یا تلاش‌های افزایش امتیاز
ردیابی استفاده غیرمعمول از ابزارهای بومی مانند fsutil، robocopy و diskpart

بینش استراتژیک: شواهدی از سازش قبلی

وجود قابلیت‌هایی که برای محیط‌های ویندوز قدیمی طراحی شده‌اند، نشان‌دهنده‌ی شناسایی قبلی و دسترسی بلندمدت است. مهاجمان احتمالاً دانش دقیقی از زیرساخت هدف داشته‌اند و ممکن است مدت‌ها قبل از شروع مرحله‌ی مخرب، محیط‌های دامنه را به خطر انداخته باشند.