Lotus ਵਾਈਪਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਇੱਕ ਪਹਿਲਾਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਡੇਟਾ-ਵਾਈਪਿੰਗ ਮਾਲਵੇਅਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸਨੂੰ ਹੁਣ ਲੋਟਸ ਵਾਈਪਰ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ 2025 ਦੇ ਅਖੀਰ ਅਤੇ 2026 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਵੈਨੇਜ਼ੁਏਲਾ ਦੇ ਊਰਜਾ ਅਤੇ ਉਪਯੋਗਤਾ ਖੇਤਰ ਦੇ ਵਿਰੁੱਧ ਨਿਸ਼ਾਨਾਬੱਧ ਹਮਲਿਆਂ ਵਿੱਚ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਮਾਲਵੇਅਰ ਵੱਧ ਤੋਂ ਵੱਧ ਤਬਾਹੀ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਪੂਰੀ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹਨ।

ਤਾਲਮੇਲ ਵਾਲਾ ਹਮਲਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ: ਮਲਟੀ-ਸਟੇਜ ਡਿਪਲਾਇਮੈਂਟ

ਇਹ ਹਮਲਾ ਦੋ ਬੈਚ ਸਕ੍ਰਿਪਟਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਧਿਆਨ ਨਾਲ ਸਟੇਜ ਕੀਤੇ ਓਪਰੇਸ਼ਨ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਦੇ ਹਨ। ਇਹ ਸਕ੍ਰਿਪਟਾਂ ਨੈੱਟਵਰਕ ਵਿੱਚ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਸਿੰਕ੍ਰੋਨਾਈਜ਼ ਕਰਦੀਆਂ ਹਨ, ਸਿਸਟਮ ਡਿਫੈਂਸ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਦੀਆਂ ਹਨ, ਅਤੇ ਅੰਤਿਮ ਪੇਲੋਡ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਆਮ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਵਿਘਨ ਪਾਉਂਦੀਆਂ ਹਨ। ਉਨ੍ਹਾਂ ਦੀ ਭੂਮਿਕਾ ਵਿੱਚ ਵਾਈਪਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨਾ, ਡੀਓਬਫਸਕੇਟ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਵਿਨਾਸ਼ਕਾਰੀ ਪੜਾਅ ਵਿੱਚ ਇੱਕ ਸਹਿਜ ਤਬਦੀਲੀ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।

ਯੋਜਨਾਬੱਧ ਵਿਨਾਸ਼: ਲੋਟਸ ਵਾਈਪਰ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਲੋਟਸ ਵਾਈਪਰ ਇੱਕ ਵਿਆਪਕ ਡੇਟਾ ਮਿਟਾਉਣ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ ਜੋ ਸਿਸਟਮ ਕਾਰਜਸ਼ੀਲਤਾ ਅਤੇ ਰਿਕਵਰੀ ਵਿਕਲਪਾਂ ਦੋਵਾਂ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ। ਇਸਦੀਆਂ ਵਿਨਾਸ਼ਕਾਰੀ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰਿਕਵਰੀ ਵਿਧੀਆਂ ਨੂੰ ਹਟਾਉਣਾ, ਜਿਸ ਵਿੱਚ ਰੀਸਟੋਰ ਪੁਆਇੰਟ ਵੀ ਸ਼ਾਮਲ ਹਨ।
• ਜ਼ੀਰੋ ਕੀਤੇ ਡੇਟਾ ਨਾਲ ਭੌਤਿਕ ਡਰਾਈਵ ਸੈਕਟਰਾਂ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਨਾ
• ਸਾਰੇ ਮਾਊਂਟ ਕੀਤੇ ਵਾਲੀਅਮਾਂ ਵਿੱਚ ਫਾਈਲਾਂ ਨੂੰ ਮਿਟਾਉਣਾ
• ਵਾਲੀਅਮ ਜਰਨਲਾਂ ਵਿੱਚ ਅੱਪਡੇਟ ਸੀਕੁਐਂਸ ਨੰਬਰ (USN) ਦੀ ਕਲੀਅਰਿੰਗ

ਇਹ ਕਾਰਵਾਈਆਂ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀਆਂ ਹਨ ਕਿ ਪ੍ਰਭਾਵਿਤ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਰਵਾਇਤੀ ਤਰੀਕਿਆਂ ਨਾਲ ਬਹਾਲ ਜਾਂ ਦੁਬਾਰਾ ਨਹੀਂ ਬਣਾਇਆ ਜਾ ਸਕਦਾ।

ਇਰਾਦੇ ਦੇ ਸੂਚਕ: ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਨਹੀਂ

ਰੈਨਸਮਵੇਅਰ ਦੇ ਉਲਟ, ਲੋਟਸ ਵਾਈਪਰ ਵਿੱਚ ਕੋਈ ਜਬਰਦਸਤੀ ਸੁਨੇਹੇ ਜਾਂ ਭੁਗਤਾਨ ਨਿਰਦੇਸ਼ ਨਹੀਂ ਹਨ। ਇਹ ਗੈਰਹਾਜ਼ਰੀ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਮੁਹਿੰਮ ਵਿੱਤੀ ਉਦੇਸ਼ਾਂ ਦੁਆਰਾ ਨਹੀਂ, ਸਗੋਂ ਤੋੜ-ਫੋੜ ਜਾਂ ਭੂ-ਰਾਜਨੀਤਿਕ ਉਦੇਸ਼ਾਂ ਦੁਆਰਾ ਚਲਾਈ ਜਾ ਰਹੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਮਾਲਵੇਅਰ ਨਮੂਨਾ ਜਨਵਰੀ 2026 ਵਿੱਚ ਅਮਰੀਕੀ ਫੌਜੀ ਗਤੀਵਿਧੀ ਤੋਂ ਥੋੜ੍ਹੀ ਦੇਰ ਪਹਿਲਾਂ, ਦਸੰਬਰ 2025 ਦੇ ਅੱਧ ਵਿੱਚ ਵੈਨੇਜ਼ੁਏਲਾ ਦੇ ਇੱਕ ਸਿਸਟਮ ਤੋਂ ਜਨਤਕ ਤੌਰ 'ਤੇ ਅਪਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ। ਹਾਲਾਂਕਿ ਕਿਸੇ ਸਿੱਧੇ ਲਿੰਕ ਦੀ ਪੁਸ਼ਟੀ ਨਹੀਂ ਕੀਤੀ ਗਈ ਹੈ, ਸਮਾਂ ਉਸੇ ਖੇਤਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਸਾਈਬਰ ਗਤੀਵਿਧੀਆਂ ਦੀਆਂ ਵਧੀਆਂ ਰਿਪੋਰਟਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕੇਂਦ੍ਰਿਤ ਕਾਰਵਾਈ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਵਿਰਾਸਤੀ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ: ਪੁਰਾਣੇ ਵਾਤਾਵਰਣਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ

ਹਮਲੇ ਦੀ ਲੜੀ ਇੱਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ ਜੋ ਇੱਕ ਬਹੁ-ਪੜਾਅ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦੀ ਹੈ। ਇਸਦੇ ਸ਼ੁਰੂਆਤੀ ਕੰਮਾਂ ਵਿੱਚੋਂ ਇੱਕ Windows Interactive Services Detection (UI0Detect) ਸੇਵਾ ਨੂੰ ਅਯੋਗ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਹੈ। Windows 10 ਵਰਜਨ 1803 ਤੋਂ ਬਾਅਦ ਆਧੁਨਿਕ Windows ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਹਟਾਈ ਗਈ ਇਹ ਸੇਵਾ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਖਾਸ ਤੌਰ 'ਤੇ ਪੁਰਾਣੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਸਕ੍ਰਿਪਟ ਇੱਕ NETLOGON ਸ਼ੇਅਰ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਵੀ ਜਾਂਚ ਕਰਦੀ ਹੈ ਅਤੇ ਇੱਕ ਰਿਮੋਟ XML ਫਾਈਲ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ। ਇਹ ਇਸ ਫਾਈਲ ਦੀ ਤੁਲਨਾ C:\lotus ਜਾਂ %SystemDrive%\lotus ਵਰਗੀਆਂ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਸੰਸਕਰਣ ਨਾਲ ਕਰਦੀ ਹੈ। ਇਹ ਵਿਵਹਾਰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇਹ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਸਿਸਟਮ ਇੱਕ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਡੋਮੇਨ ਦਾ ਹਿੱਸਾ ਹੈ। ਜੇਕਰ ਰਿਮੋਟ ਫਾਈਲ ਉਪਲਬਧ ਨਹੀਂ ਹੈ, ਤਾਂ ਸਕ੍ਰਿਪਟ ਖਤਮ ਹੋ ਜਾਂਦੀ ਹੈ; ਨਹੀਂ ਤਾਂ, ਇਹ ਕਨੈਕਟੀਵਿਟੀ ਦੀ ਦੁਬਾਰਾ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਲਈ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ 20 ਮਿੰਟ ਤੱਕ ਦੀ ਬੇਤਰਤੀਬ ਦੇਰੀ ਨੂੰ ਪੇਸ਼ ਕਰਨ ਤੋਂ ਬਾਅਦ ਅੱਗੇ ਵਧਦੀ ਹੈ।

ਵਾਤਾਵਰਣ ਦੀ ਤਿਆਰੀ: ਸਿਸਟਮਾਂ ਨੂੰ ਅਯੋਗ ਅਤੇ ਵਿਘਨ ਪਾਉਣਾ

ਦੂਜੀ ਬੈਚ ਸਕ੍ਰਿਪਟ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਨੂੰ ਇਸਦੀ ਕਾਰਜਸ਼ੀਲ ਸਥਿਤੀ ਨੂੰ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਕਮਜ਼ੋਰ ਕਰਕੇ ਤਬਾਹੀ ਲਈ ਤਿਆਰ ਕਰਦੀ ਹੈ। ਇਸ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਥਾਨਕ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਦੀ ਗਿਣਤੀ ਕਰਨਾ ਅਤੇ ਕੈਸ਼ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨਾ
• ਸਰਗਰਮ ਉਪਭੋਗਤਾ ਸੈਸ਼ਨਾਂ ਨੂੰ ਲੌਗ ਆਫ ਕਰਨਾ
• ਨੈੱਟਵਰਕ ਇੰਟਰਫੇਸਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨਾ
• ਲਾਜ਼ੀਕਲ ਡਰਾਈਵਾਂ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਡਿਸਕਪਾਰਟ ਕਲੀਨ ਆਲ ਕਮਾਂਡ ਨੂੰ ਲਾਗੂ ਕਰਨਾ

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਫਾਈਲਾਂ ਨੂੰ ਓਵਰਰਾਈਟ ਜਾਂ ਡਿਲੀਟ ਕਰਨ ਲਈ ਰੋਬੋਕੌਪੀ ਅਤੇ ਵੱਡੀਆਂ ਫਾਈਲਾਂ ਬਣਾਉਣ ਲਈ fsutil ਵਰਗੀਆਂ ਮੂਲ ਵਿੰਡੋਜ਼ ਉਪਯੋਗਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ ਸਾਰੀ ਉਪਲਬਧ ਡਿਸਕ ਸਪੇਸ ਦੀ ਖਪਤ ਕਰਦੀਆਂ ਹਨ, ਰਿਕਵਰੀ ਦੇ ਯਤਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਰੋਕਦੀਆਂ ਹਨ।

ਅੰਤਿਮ ਪੇਲੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ: ਅਟੱਲ ਨੁਕਸਾਨ

ਤਿਆਰੀ ਤੋਂ ਬਾਅਦ, ਲੋਟਸ ਵਾਈਪਰ ਪੇਲੋਡ ਤੈਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਰੀਸਟੋਰ ਪੁਆਇੰਟਾਂ ਨੂੰ ਮਿਟਾ ਕੇ, ਭੌਤਿਕ ਸੈਕਟਰਾਂ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਕੇ, ਜਰਨਲ ਰਿਕਾਰਡਾਂ ਨੂੰ ਸਾਫ਼ ਕਰਕੇ, ਅਤੇ ਮਾਊਂਟ ਕੀਤੇ ਵਾਲੀਅਮਾਂ ਵਿੱਚ ਸਾਰੀਆਂ ਸਿਸਟਮ ਫਾਈਲਾਂ ਨੂੰ ਹਟਾ ਕੇ ਵਿਨਾਸ਼ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ। ਇਸ ਪੜਾਅ 'ਤੇ, ਬਾਹਰੀ ਬੈਕਅੱਪ ਤੋਂ ਬਿਨਾਂ ਰਿਕਵਰੀ ਲਗਭਗ ਅਸੰਭਵ ਹੋ ਜਾਂਦੀ ਹੈ।

ਰੱਖਿਆਤਮਕ ਸਿਫ਼ਾਰਸ਼ਾਂ: ਨਿਗਰਾਨੀ ਅਤੇ ਘਟਾਉਣਾ

ਸੰਗਠਨਾਂ, ਖਾਸ ਕਰਕੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਖੇਤਰਾਂ ਵਿੱਚ, ਨੂੰ ਸਰਗਰਮ ਨਿਗਰਾਨੀ ਅਤੇ ਖੋਜ ਰਣਨੀਤੀਆਂ ਅਪਣਾਉਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ। ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦੇ ਮੁੱਖ ਖੇਤਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

NETLOGON ਸ਼ੇਅਰਾਂ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਦੀ ਨਿਗਰਾਨੀ
ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਡੰਪਿੰਗ ਜਾਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ
fsutil, robocopy, ਅਤੇ diskpart ਵਰਗੇ ਮੂਲ ਟੂਲਸ ਦੀ ਅਸਾਧਾਰਨ ਵਰਤੋਂ ਨੂੰ ਟਰੈਕ ਕਰਨਾ

ਰਣਨੀਤਕ ਸੂਝ: ਪਹਿਲਾਂ ਹੋਏ ਸਮਝੌਤੇ ਦਾ ਸਬੂਤ

ਪੁਰਾਣੇ ਵਿੰਡੋਜ਼ ਵਾਤਾਵਰਣਾਂ ਦੇ ਅਨੁਸਾਰ ਤਿਆਰ ਕੀਤੀ ਗਈ ਕਾਰਜਸ਼ੀਲਤਾ ਦੀ ਮੌਜੂਦਗੀ ਪਹਿਲਾਂ ਦੀ ਜਾਂਚ ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਦੀ ਪਹੁੰਚ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਵਿਸਤ੍ਰਿਤ ਗਿਆਨ ਸੀ ਅਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਪੜਾਅ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਹੀ ਡੋਮੇਨ ਵਾਤਾਵਰਣ ਨਾਲ ਸਮਝੌਤਾ ਕਰ ਲਿਆ ਹੋ ਸਕਦਾ ਹੈ।