Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Lotus tīrītājs

Lotus tīrītājs

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības analītiķi ir identificējuši iepriekš nedokumentētu datus dzēšošu ļaunprogrammatūru, kas tagad pazīstama kā Lotus Wiper un tika izmantota mērķtiecīgos uzbrukumos Venecuēlas enerģētikas un komunālo pakalpojumu sektoram laikā no 2025. gada beigām līdz 2026. gada sākumam. Šī ļaunprogrammatūra ir paredzēta maksimālai iznīcināšanai, padarot inficētās sistēmas pilnībā nedarbojamas.

Koordinēta uzbrukuma izpilde: daudzpakāpju izvietošana

Uzbrukums balstās uz diviem pakešskriptiem, kas organizē rūpīgi plānotu darbību. Šie skripti sinhronizē darbības visā tīklā, vājina sistēmas aizsardzību un traucē normālu darbību pirms galīgās slodzes uzsākšanas. To loma ietver datu dzēsēja komponentes izgūšanu, dekofūziju un izpildi, nodrošinot netraucētu pāreju uz destruktīvo fāzi.

Sistemātiska iznīcināšana: kā darbojas Lotus tīrītājs

Pēc aktivizēšanas Lotus Wiper veic visaptverošu datu dzēšanas procesu, kas likvidē gan sistēmas funkcionalitāti, gan atkopšanas iespējas. Tā destruktīvās spējas ietver:

  • Atjaunošanas mehānismu, tostarp atjaunošanas punktu, noņemšana
  • Fizisko disku sektoru pārrakstīšana ar nullētiem datiem
  • Failu dzēšana visos pievienotajos sējumos
  • Atjaunināšanas secības numuru (USN) notīrīšana apjoma žurnālos

Šīs darbības kopā nodrošina, ka skartās sistēmas nevar atjaunot vai pārbūvēt, izmantojot parastos līdzekļus.

Nodoma rādītāji: Nav finansiāli motivēts

Atšķirībā no izspiedējvīrusiem, Lotus Wiper nesatur izspiešanas ziņojumus vai maksājuma norādījumus. Šis trūkums stingri norāda, ka kampaņu nevada finansiāli mērķi, bet gan sabotāža vai ģeopolitiski motīvi. Jāatzīmē, ka ļaunprogrammatūras paraugs tika publiski augšupielādēts 2025. gada decembra vidū no Venecuēlas sistēmas, neilgi pirms ASV militārās aktivitātes 2026. gada janvārī. Lai gan tieša saikne nav apstiprināta, šis laiks sakrīt ar pieaugošajiem ziņojumiem par kiberaktivitātēm, kas vērstas pret to pašu sektoru, norādot uz ļoti mērķtiecīgu operāciju.

Orientēšanās uz mantotajām sistēmām: novecojušu vides izmantošana

Uzbrukuma ķēde sākas ar partijas skriptu, kas uzsāk daudzpakāpju procesu. Viena no tā agrīnajām darbībām ir mēģinājums atspējot Windows interaktīvo pakalpojumu noteikšanas (UI0Detect) pakalpojumu. Šis pakalpojums, kas modernajās Windows versijās ir noņemts pēc Windows 10 versijas 1803, norāda, ka ļaunprogrammatūra ir īpaši izstrādāta, lai uzbruktu vecākām operētājsistēmām.

Skripts arī pārbauda NETLOGON koplietošanas esamību un izgūst attālo XML failu. Tas salīdzina šo failu ar lokāli saglabātu versiju tādos direktorijos kā C:\lotus vai %SystemDrive%\lotus. Šī darbība, visticamāk, nosaka, vai sistēma ir daļa no Active Directory domēna. Ja attālais fails nav pieejams, skripta darbība tiek pārtraukta; pretējā gadījumā tas turpina darbu pēc tam, kad potenciāli var tikt ieviesta nejaušināta aizkave līdz pat 20 minūtēm, lai atkārtoti mēģinātu izveidot savienojumu.

Vides sagatavošana: sistēmu atspējošana un darbības pārtraukšana

Otrais partijas skripts sagatavo kompromitēto sistēmu iznīcināšanai, sistemātiski vājinot tās darbības stāvokli. Tā darbības ietver:

  • Lokālo lietotāju kontu uzskaitīšana un kešatmiņā saglabāto akreditācijas datu atspējošana
  • Aktīvo lietotāju sesiju atslēgšana
  • Tīkla saskarņu atspējošana
  • Izpildot komandu diskpart clean all, lai dzēstu loģiskos diskus

Turklāt tas izmanto vietējās Windows utilītas, piemēram, robocopy, lai pārrakstītu vai dzēstu failus, un fsutil, lai izveidotu lielus failus, kas aizņem visu pieejamo diska vietu, efektīvi novēršot atkopšanas centienus.

Galīgā slodzes izpilde: neatgriezeniski bojājumi

Pēc sagatavošanas tiek izvietota Lotus Wiper lietderīgā slodze. Tā pabeidz iznīcināšanas procesu, dzēšot atjaunošanas punktus, pārrakstot fiziskos sektorus, notīrot žurnāla ierakstus un noņemot visus sistēmas failus visos pievienotajos sējumos. Šajā posmā atkopšana kļūst praktiski neiespējama bez ārējām dublējumkopijām.

Aizsardzības ieteikumi: uzraudzība un mazināšana

Organizācijām, īpaši tām, kas darbojas kritiskās infrastruktūras nozarēs, vajadzētu ieviest proaktīvas uzraudzības un atklāšanas stratēģijas. Galvenās uzmanības jomas ir šādas:

NETLOGON koplietojumu izmaiņu uzraudzība
Akreditācijas datu dumpēšanas vai privilēģiju eskalācijas mēģinājumu noteikšana
Neparastas vietējo rīku, piemēram, fsutil, robocopy un diskpart, lietošanas izsekošana

Stratēģiska atziņa: pierādījumi par iepriekšēju kompromisu

Novecojušām Windows vidēm pielāgotas funkcionalitātes klātbūtne liecina par iepriekšēju izlūkošanu un ilgtermiņa piekļuvi. Uzbrucējiem, visticamāk, bija detalizētas zināšanas par mērķa infrastruktūru un, iespējams, domēna vides bija kompromitētas krietni pirms destruktīvās fāzes uzsākšanas.

Tendences

Apstiprināt jaunu privātuma drošības atjauninājumu...

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas prasa steidzamu rīcību, vienmēr jāizturas piesardzīgi. Kibernoziedznieki bieži maskē ļaunprātīgus ziņojumus kā likumīgus paziņojumus, lai izmantotu uzticību un izraisītu paniku. Ir svarīgi atzīt, ka krāpnieciskas e-pasta vēstules, piemēram, “Apstiprināt jaunu privātuma drošības atjauninājumu”, nav saistītas ar likumīgiem uzņēmumiem, organizācijām vai vienībām...

Visvairāk skatīts

Notiek ielāde...