Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma Lotus-pyyhin

Lotus-pyyhin

Vuonna Mezo vuonna Haittaohjelma
Käännä:

Kyberturvallisuusanalyytikot ovat tunnistaneet aiemmin dokumentoimattoman, tietoja pyyhkivän haittaohjelman, joka tunnetaan nyt nimellä Lotus Wiper. Haittaohjelmaa käytettiin kohdennetuissa hyökkäyksissä Venezuelan energia- ja yleishyödyllisten palvelujen sektoria vastaan vuoden 2025 lopun ja vuoden 2026 alun välisenä aikana. Haittaohjelma on suunniteltu maksimaaliseen tuhoon, tehden tartunnan saaneet järjestelmät täysin toimintakyvyttömiksi.

Koordinoitu hyökkäyksen toteutus: Monivaiheinen käyttöönotto

Hyökkäys perustuu kahteen eräajokomentosarjaan, jotka orkestroivat huolellisesti suunnitellun operaation. Nämä komentosarjat synkronoivat toimintoja verkossa, heikentävät järjestelmän puolustusta ja häiritsevät normaalia toimintaa ennen lopullisen hyötykuorman käynnistämistä. Niiden tehtäviin kuuluu pyyhinkomponentin hakeminen, deobfuskointi ja suorittaminen, mikä varmistaa saumattoman siirtymisen tuhoavaan vaiheeseen.

Systemaattinen tuhoaminen: Näin Lotus Wiper toimii

Aktivoinnin jälkeen Lotus Wiper suorittaa kattavan tietojen hävitysprosessin, joka poistaa sekä järjestelmän toiminnallisuuden että palautusvaihtoehdot. Sen tuhoamisominaisuuksiin kuuluvat:

  • Palautusmekanismien, mukaan lukien palautuspisteiden, poistaminen
  • Fyysisten levysektorien korvaaminen nollatuilla tiedoilla
  • Tiedostojen poistaminen kaikilta liitetyiltä taltioilta
  • Päivitysjärjestysnumeroiden (USN) tyhjentäminen volyymilokeissa

Nämä toimenpiteet yhdessä varmistavat, että vaurioituneita järjestelmiä ei voida palauttaa tai rakentaa uudelleen perinteisin keinoin.

Aikomuksen indikaattorit: Ei taloudellisesti motivoitunut

Toisin kuin kiristyshaittaohjelmat, Lotus Wiper ei sisällä kiristysviestejä tai maksuohjeita. Tämä puuttuminen viittaa vahvasti siihen, että kampanjaa eivät ohjaa taloudelliset tavoitteet, vaan pikemminkin sabotaasi tai geopoliittiset motiivit. Huomionarvoista on, että haittaohjelmanäyte ladattiin julkisesti joulukuun puolivälissä 2025 venezuelalaisesta järjestelmästä, vähän ennen Yhdysvaltojen sotilaallista toimintaa tammikuussa 2026. Vaikka suoraa yhteyttä ei ole vahvistettu, ajankohta osuu yksiin samaan sektoriin kohdistuvan kybertoiminnan lisääntyneiden raporttien kanssa, mikä viittaa erittäin kohdennettuun operaatioon.

Vanhojen järjestelmien kohdistaminen: Vanhentuneiden ympäristöjen hyödyntäminen

Hyökkäysketju alkaa eräajokomentosarjalla, joka käynnistää monivaiheisen prosessin. Yksi sen varhaisista toimista on yritys poistaa käytöstä Windows Interactive Services Detection (UI0Detect) -palvelu. Tämä palvelu, joka on poistettu nykyaikaisista Windows-versioista Windows 10 -version 1803 jälkeen, osoittaa, että haittaohjelma on erityisesti suunniteltu kohdistamaan sitä vanhempiin käyttöjärjestelmiin.

Komentosarja tarkistaa myös NETLOGON-jaon olemassaolon ja hakee etä-XML-tiedoston. Se vertaa tätä tiedostoa paikallisesti tallennettuun versioon hakemistoissa, kuten C:\lotus tai %SystemDrive%\lotus. Tämä todennäköisesti määrittää, onko järjestelmä osa Active Directory -toimialuetta. Jos etätiedosto ei ole käytettävissä, komentosarja päättyy; muussa tapauksessa se jatkaa suoritusta mahdollisesti lisättyään satunnaistetun viiveen, joka voi olla jopa 20 minuuttia, ennen kuin se yrittää yhteyden muodostamista uudelleen.

Ympäristön valmistelu: Järjestelmien poistaminen käytöstä ja keskeyttäminen

Toinen eräkomentosarja valmistelee vaarantuneen järjestelmän tuhoamista varten heikentämällä systemaattisesti sen toimintatilaa. Sen toimintoihin kuuluvat:

  • Paikallisten käyttäjätilien luettelointi ja välimuistissa olevien tunnistetietojen poistaminen käytöstä
  • Aktiivisten käyttäjäistuntojen uloskirjautuminen
  • Verkkoliitäntöjen poistaminen käytöstä
  • Suorittamalla diskpart clean all -komennon loogisten asemien tyhjentämiseksi

Lisäksi se hyödyntää Windowsin natiiveja apuohjelmia, kuten robocopya tiedostojen korvaamiseen tai poistamiseen ja fsutil-komentoa suurten tiedostojen luomiseen, jotka kuluttavat kaiken käytettävissä olevan levytilan estäen tehokkaasti palautusyritykset.

Lopullinen hyötykuorman toteutus: Peruuttamaton vaurio

Valmistelun jälkeen Lotus Wiper -hyötykuorma otetaan käyttöön. Se viimeistelee tuhoamisprosessin poistamalla palautuspisteet, korvaamalla fyysiset sektorit, tyhjentämällä lokitiedot ja poistamalla kaikki järjestelmätiedostot liitetyiltä levyiltä. Tässä vaiheessa palauttaminen on käytännössä mahdotonta ilman ulkoisia varmuuskopioita.

Puolustavat suositukset: seuranta ja lieventäminen

Organisaatioiden, erityisesti kriittisen infrastruktuurin aloilla toimivien, tulisi ottaa käyttöön ennakoivia seuranta- ja havaitsemisstrategioita. Keskeisiä painopistealueita ovat:

NETLOGON-jakojen muutosten seuranta
Tunnistetietojen dumppaus- tai etuoikeuksien eskalointiyritysten havaitseminen
Natiivityökalujen, kuten fsutil, robocopy ja diskpart, epätavallisen käytön seuranta

Strateginen näkemys: Todisteet aiemmasta kompromissista

Vanhentuneisiin Windows-ympäristöihin räätälöityjen toimintojen olemassaolo viittaa aiempaan tiedusteluun ja pitkäaikaiseen pääsyyn. Hyökkääjillä oli todennäköisesti yksityiskohtaiset tiedot kohteena olevasta infrastruktuurista ja he olivat saattaneet vaarantaa verkkotunnusympäristöjä jo kauan ennen tuhoisan vaiheen aloittamista.

Trendaavat

Vahvista uusi tietosuoja- ja tietoturvapäivitys...

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, jotka vaativat kiireellisiä toimia, tulee aina suhtautua varoen. Kyberrikolliset naamioivat usein haitalliset viestit oikeiksi ilmoituksiksi hyödyntääkseen luottamusta ja laukaistakseen paniikin. On tärkeää ymmärtää, että huijaukset, kuten "Vahvista uusi tietosuojapäivitys", eivät liity mihinkään laillisiin yrityksiin, organisaatioihin tai yhteisöihin,...

Eniten katsottu

Ladataan...