Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Lotus-ruitenwisser

Lotus-ruitenwisser

Tegen Mezo in Malware
Vertalen naar:

Cybersecurity-analisten hebben een voorheen ongedocumenteerde malware voor het wissen van gegevens ontdekt, nu bekend als Lotus Wiper, die tussen eind 2025 en begin 2026 werd ingezet bij gerichte aanvallen op de Venezolaanse energie- en nutssector. Deze malware is ontworpen voor maximale vernietiging en maakt geïnfecteerde systemen volledig onbruikbaar.

Gecoördineerde aanvalsuitvoering: implementatie in meerdere fasen

De aanval maakt gebruik van twee batchscripts die een zorgvuldig geplande operatie aansturen. Deze scripts synchroniseren activiteiten binnen het netwerk, verzwakken de systeembeveiliging en verstoren de normale werking voordat de uiteindelijke aanval wordt uitgevoerd. Hun rol omvat het ophalen, deobfusceren en uitvoeren van de wiper-component, waardoor een naadloze overgang naar de destructieve fase wordt gegarandeerd.

Systematische vernietiging: hoe Lotus Wiper werkt

Eenmaal geactiveerd voert Lotus Wiper een uitgebreid gegevensverwijderingsproces uit dat zowel de systeemfunctionaliteit als de herstelmogelijkheden elimineert. De vernietigende mogelijkheden omvatten:

  • Verwijdering van herstelmechanismen, inclusief herstelpunten
  • Het overschrijven van fysieke schijfsectoren met nullen.
  • Verwijderen van bestanden op alle gekoppelde volumes
  • Het wissen van updatevolgnummers (USN) in volumejournaals

Deze maatregelen zorgen er gezamenlijk voor dat de getroffen systemen niet op conventionele wijze kunnen worden hersteld of herbouwd.

Indicatoren van intentie: niet financieel gemotiveerd

In tegenstelling tot ransomware bevat Lotus Wiper geen afpersingsberichten of betalingsinstructies. Deze afwezigheid suggereert sterk dat de campagne niet gedreven wordt door financiële doelen, maar eerder door sabotage of geopolitieke motieven. Opvallend is dat het malwarevoorbeeld medio december 2025 openbaar werd gemaakt vanaf een Venezolaans systeem, kort voor de Amerikaanse militaire activiteiten in januari 2026. Hoewel er geen direct verband is bevestigd, valt de timing samen met een toename van meldingen van cyberaanvallen gericht op dezelfde sector, wat wijst op een zeer gerichte operatie.

Het aanvallen van verouderde systemen: het exploiteren van achterhaalde omgevingen

De aanvalsketen begint met een batchscript dat een proces in meerdere stappen opstart. Een van de eerste acties is het uitschakelen van de Windows Interactive Services Detection (UI0Detect)-service. Deze service, die in moderne Windows-versies na Windows 10 versie 1803 is verwijderd, wijst erop dat de malware specifiek is ontworpen om oudere besturingssystemen aan te vallen.

Het script controleert ook of er een NETLOGON-share aanwezig is en haalt een extern XML-bestand op. Dit bestand wordt vergeleken met een lokaal opgeslagen versie in mappen zoals C:\lotus of %SystemDrive%\lotus. Deze procedure bepaalt waarschijnlijk of het systeem deel uitmaakt van een Active Directory-domein. Als het externe bestand niet beschikbaar is, wordt het script beëindigd; anders gaat het verder, mogelijk met een willekeurige vertraging van maximaal 20 minuten om de verbinding opnieuw te proberen.

Omgevingsvoorbereiding: Systemen uitschakelen en ontregelen

Het tweede batchscript bereidt het gecompromitteerde systeem voor op vernietiging door de operationele status ervan systematisch te verzwakken. De acties omvatten:

  • Lokale gebruikersaccounts opsommen en opgeslagen inloggegevens uitschakelen
  • Actieve gebruikerssessies worden afgemeld.
  • Netwerkinterfaces uitschakelen
  • Het commando diskpart clean all uitvoeren om logische schijven te wissen.

Bovendien maakt het gebruik van native Windows-hulpprogramma's zoals robocopy om bestanden te overschrijven of te verwijderen en fsutil om grote bestanden te creëren die alle beschikbare schijfruimte in beslag nemen, waardoor herstelpogingen effectief worden bemoeilijkt.

Einduitvoering van de payload: onherstelbare schade

Na de voorbereiding wordt de Lotus Wiper-payload ingezet. Deze voltooit het vernietigingsproces door herstelpunten te verwijderen, fysieke sectoren te overschrijven, logboekrecords te wissen en alle systeembestanden op de gekoppelde volumes te verwijderen. In dit stadium is herstel vrijwel onmogelijk zonder externe back-ups.

Defensieve aanbevelingen: monitoring en risicobeperking

Organisaties, met name die in sectoren met kritieke infrastructuur, zouden proactieve monitoring- en detectiestrategieën moeten hanteren. Belangrijke aandachtspunten zijn onder meer:

Het monitoren van wijzigingen in NETLOGON-aandelen.
Het detecteren van pogingen tot het lekken van inloggegevens of het verkrijgen van privileges.
Het opsporen van ongebruikelijk gebruik van native tools zoals fsutil, robocopy en diskpart.

Strategisch inzicht: bewijs van een eerder compromis

De aanwezigheid van functionaliteit die is afgestemd op verouderde Windows-omgevingen wijst op voorafgaande verkenning en langdurige toegang. De aanvallers hadden waarschijnlijk gedetailleerde kennis van de beoogde infrastructuur en hebben mogelijk domeinomgevingen gecompromitteerd ruim voordat ze de destructieve fase ingingen.

Trending

Meest bekeken

Bezig met laden...