Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Lotus ablaktörlő

Lotus ablaktörlő

Mezo -ra Malware-ben
Fordítás ide:

Kiberbiztonsági elemzők azonosítottak egy korábban nem dokumentált, adattörlő rosszindulatú programot, a Lotus Wipert, amelyet 2025 vége és 2026 eleje között Venezuela energia- és közműszektora ellen célzott támadásokban vetettek be. Ez a rosszindulatú program maximális pusztításra készült, a fertőzött rendszereket teljesen működésképtelenné téve.

Koordinált támadásvégrehajtás: Többlépcsős telepítés

A támadás két kötegelt szkriptre támaszkodik, amelyek egy gondosan megtervezett műveletet hajtanak végre. Ezek a szkriptek szinkronizálják a hálózaton belüli tevékenységeket, gyengítik a rendszer védelmét és megzavarják a normál működést, mielőtt elindítanák a végső hasznos adatot. Szerepük magában foglalja a törlési komponens lekérését, deobfuszkálását és végrehajtását, biztosítva a zökkenőmentes átmenetet a destruktív fázisba.

Szisztematikus megsemmisítés: Hogyan működik a Lotus ablaktörlő

Aktiválás után a Lotus Wiper átfogó adattörlési folyamatot hajt végre, amely megszünteti mind a rendszerfunkciókat, mind a helyreállítási lehetőségeket. A romboló képességei a következők:

  • A helyreállítási mechanizmusok eltávolítása, beleértve a visszaállítási pontokat is
  • Fizikai meghajtó szektorok felülírása nullázott adatokkal
  • Fájlok törlése az összes csatlakoztatott kötetről
  • Frissítési sorszámok (USN) törlése a kötetnaplókban

Ezek az intézkedések együttesen biztosítják, hogy az érintett rendszereket ne lehessen hagyományos eszközökkel helyreállítani vagy újjáépíteni.

Szándékosság mutatói: Nem anyagilag motivált

A zsarolóvírusokkal ellentétben a Lotus Wiper nem tartalmaz zsarolási üzeneteket vagy fizetési utasításokat. Ez a hiány erősen arra utal, hogy a kampányt nem pénzügyi célok, hanem szabotázs vagy geopolitikai indítékok vezérlik. Figyelemre méltó, hogy a rosszindulatú program mintáját 2025 december közepén töltötték fel nyilvánosan egy venezuelai rendszerből, röviddel az amerikai katonai tevékenység 2026 januárjában történt megkezdése előtt. Bár közvetlen kapcsolatot nem erősítettek meg, az időzítés egybeesik az ugyanazon szektort célzó kibertevékenységről szóló jelentések számának növekedésével, ami egy erősen fókuszált műveletre utal.

Régi rendszerek célbavétele: Elavult környezetek kihasználása

A támadási lánc egy kötegelt szkripttel kezdődik, amely egy többlépcsős folyamatot indít el. Az egyik korai művelete a Windows Interactive Services Detection (UI0Detect) szolgáltatás letiltására tett kísérlet. Ez a szolgáltatás, amelyet a modern Windows verziókból a Windows 10 1803-as verziója után eltávolítottak, arra utal, hogy a rosszindulatú programot kifejezetten a régebbi operációs rendszerek célzására tervezték.

A szkript a NETLOGON megosztás meglétét is ellenőrzi, és lekér egy távoli XML fájlt. Összehasonlítja ezt a fájlt egy helyileg tárolt verzióval, például a C:\lotus vagy a %SystemDrive%\lotus könyvtárakban. Ez a viselkedés valószínűleg azt határozza meg, hogy a rendszer része-e egy Active Directory tartománynak. Ha a távoli fájl nem érhető el, a szkript leáll; ellenkező esetben a rendszer folytatja a futást, miután potenciálisan egy akár 20 perces véletlenszerű késleltetést is beindít a csatlakozás újrapróbálkozásához.

Környezet előkészítése: Rendszerek letiltása és működésének megzavarása

A második kötegelt szkript a feltört rendszert a megsemmisítésre készíti fel azáltal, hogy szisztematikusan gyengíti annak működőképességét. A műveletei a következők:

  • Helyi felhasználói fiókok felsorolása és a gyorsítótárazott hitelesítő adatok letiltása
  • Aktív felhasználói munkamenetek kijelentkezése
  • Hálózati interfészek letiltása
  • A diskpart clean all parancs végrehajtása a logikai meghajtók törléséhez

Ezenkívül olyan natív Windows segédprogramokat is használ, mint a robocopy a fájlok felülírásához vagy törléséhez, az fsutil pedig nagy fájlok létrehozásához, amelyek az összes rendelkezésre álló lemezterületet elfoglalják, hatékonyan megakadályozva a helyreállítási erőfeszítéseket.

Végső hasznos teher végrehajtása: Visszafordíthatatlan kár

Az előkészítés után a Lotus Wiper hasznos teher telepítésre kerül. A megsemmisítési folyamatot a visszaállítási pontok törlésével, a fizikai szektorok felülírásával, a naplóbejegyzések törlésével és az összes rendszerfájl eltávolításával fejezi be a csatlakoztatott kötetekről. Ebben a szakaszban a helyreállítás gyakorlatilag lehetetlenné válik külső biztonsági mentések nélkül.

Védekező ajánlások: Monitoring és mérséklés

A szervezeteknek, különösen a kritikus infrastrukturális szektorokban működőknek, proaktív monitorozási és észlelési stratégiákat kell alkalmazniuk. A főbb fókuszterületek a következők:

A NETLOGON megosztások változásainak figyelése
Hitelesítő adatok illetéktelen kezelésének vagy jogosultság-eszkalációs kísérletek észlelése
Natív eszközök, például az fsutil, a robocopy és a diskpart szokatlan használatának nyomon követése

Stratégiai betekintés: Bizonyíték a korábbi kompromisszumra

Az elavult Windows környezetekhez igazított funkciók jelenléte előzetes felderítésre és hosszú távú hozzáférésre utal. A támadók valószínűleg részletes ismeretekkel rendelkeztek a célzott infrastruktúráról, és jóval a romboló fázis megkezdése előtt feltörhették a domain környezeteket.

Felkapott

Új adatvédelmi biztonsági frissítéssel kapcsolatos...

Adathalászat, Spam
A váratlan, azonnali beavatkozást igénylő e-maileket mindig óvatosan kell kezelni. A kiberbűnözők gyakran álcázzák a rosszindulatú üzeneteket legitim értesítésekként, hogy kihasználják a bizalmat és pánikot keltsenek. Fontos felismerni, hogy az olyan csalások, mint az „Új adatvédelmi biztonsági frissítés megerősítése” e-mailek, nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez vagy...

Legnézettebb

Betöltés...