Preventivo sconto multi-licenza
Database delle minacce Malware Tergicristallo Lotus

Tergicristallo Lotus

Entro Mezo nel Malware
Traduci in:

Gli analisti di sicurezza informatica hanno identificato un malware per la cancellazione dei dati, precedentemente sconosciuto e ora noto come Lotus Wiper, utilizzato in attacchi mirati contro il settore energetico e dei servizi pubblici del Venezuela tra la fine del 2025 e l'inizio del 2026. Questo malware è progettato per causare la massima distruzione, rendendo i sistemi infetti completamente inutilizzabili.

Esecuzione coordinata dell’attacco: dispiegamento a più fasi

L'attacco si basa su due script batch che orchestrano un'operazione attentamente pianificata. Questi script sincronizzano le attività sulla rete, indeboliscono le difese del sistema e interrompono le normali operazioni prima di avviare il payload finale. Il loro ruolo include il recupero, la deoffuscazione e l'esecuzione del componente wiper, garantendo una transizione senza intoppi alla fase distruttiva.

Distruzione sistematica: come opera Lotus Wiper

Una volta attivato, Lotus Wiper esegue un processo completo di cancellazione dei dati che elimina sia le funzionalità del sistema che le opzioni di ripristino. Le sue capacità distruttive includono:

  • Rimozione dei meccanismi di ripristino, compresi i punti di ripristino
  • Sovrascrittura dei settori dell'unità disco fisica con dati azzerati
  • Eliminazione dei file su tutti i volumi montati
  • Eliminazione dei numeri di sequenza di aggiornamento (USN) nei registri di volume

Queste azioni, nel loro insieme, garantiscono che i sistemi colpiti non possano essere ripristinati o ricostruiti con mezzi convenzionali.

Indicatori di intenti: non motivati da interessi finanziari

A differenza dei ransomware, Lotus Wiper non contiene messaggi estorsivi o istruzioni di pagamento. Questa assenza suggerisce fortemente che la campagna non sia motivata da obiettivi finanziari, bensì da sabotaggi o motivazioni geopolitiche. In particolare, il campione del malware è stato caricato pubblicamente a metà dicembre 2025 da un sistema venezuelano, poco prima dell'attività militare statunitense del gennaio 2026. Sebbene non sia stato confermato alcun collegamento diretto, la tempistica coincide con un aumento delle segnalazioni di attività informatiche che prendono di mira lo stesso settore, indicando un'operazione altamente mirata.

Prendere di mira i sistemi legacy: sfruttare gli ambienti obsoleti

La catena di attacco inizia con uno script batch che avvia un processo a più fasi. Una delle sue prime azioni consiste nel tentare di disabilitare il servizio Windows Interactive Services Detection (UI0Detect). Questo servizio, rimosso nelle versioni moderne di Windows a partire da Windows 10 versione 1803, indica che il malware è specificamente progettato per colpire i sistemi operativi meno recenti.

Lo script verifica anche la presenza di una condivisione NETLOGON e recupera un file XML remoto. Confronta questo file con una versione memorizzata localmente in directory come C:\lotus o %SystemDrive%\lotus. Questo comportamento probabilmente determina se il sistema fa parte di un dominio Active Directory. Se il file remoto non è disponibile, lo script termina; altrimenti, prosegue dopo aver potenzialmente introdotto un ritardo casuale fino a 20 minuti per riprovare la connessione.

Preparazione dell’ambiente: disabilitazione e interruzione dei sistemi

Il secondo script batch prepara il sistema compromesso alla distruzione indebolendone sistematicamente lo stato operativo. Le sue azioni includono:

  • Enumerazione degli account utente locali e disabilitazione delle credenziali memorizzate nella cache
  • Disconnessione delle sessioni utente attive
  • Disabilitazione delle interfacce di rete
  • Esecuzione del comando diskpart clean all per cancellare le unità logiche

Inoltre, sfrutta utilità native di Windows come robocopy per sovrascrivere o eliminare file e fsutil per creare file di grandi dimensioni che consumano tutto lo spazio su disco disponibile, impedendo di fatto qualsiasi tentativo di ripristino.

Esecuzione finale del carico utile: danni irreversibili

Dopo la fase di preparazione, viene distribuito il payload Lotus Wiper. Questo completa il processo di distruzione eliminando i punti di ripristino, sovrascrivendo i settori fisici, cancellando i record del journal e rimuovendo tutti i file di sistema dai volumi montati. A questo punto, il ripristino diventa praticamente impossibile senza backup esterni.

Raccomandazioni difensive: monitoraggio e mitigazione

Le organizzazioni, in particolare quelle operanti nei settori delle infrastrutture critiche, dovrebbero adottare strategie proattive di monitoraggio e rilevamento. Le aree chiave su cui concentrarsi includono:

Monitoraggio delle variazioni nelle quote di NETLOGON
Rilevamento di tentativi di furto di credenziali o di escalation dei privilegi.
Monitoraggio dell'utilizzo insolito di strumenti nativi come fsutil, robocopy e diskpart

Approfondimento strategico: prove di precedenti compromessi

La presenza di funzionalità progettate per ambienti Windows obsoleti suggerisce attività di ricognizione preliminari e un accesso prolungato. È probabile che gli aggressori avessero una conoscenza dettagliata dell'infrastruttura bersaglio e che avessero compromesso gli ambienti di dominio ben prima di avviare la fase distruttiva.

Tendenza

I più visti

Caricamento in corso...