Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Wycieraczka Lotus

Wycieraczka Lotus

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Analitycy ds. cyberbezpieczeństwa zidentyfikowali wcześniej nieudokumentowane złośliwe oprogramowanie służące do usuwania danych, obecnie znane jako Lotus Wiper, wdrażane w ukierunkowanych atakach na sektor energetyczny i usług komunalnych w Wenezueli między końcem 2025 a początkiem 2026 roku. To złośliwe oprogramowanie ma na celu maksymalne zniszczenie, sprawiając, że zainfekowane systemy staną się całkowicie bezużyteczne.

Skoordynowane przeprowadzanie ataków: wdrażanie wieloetapowe

Atak opiera się na dwóch skryptach wsadowych, które koordynują starannie zaplanowaną operację. Skrypty te synchronizują działania w całej sieci, osłabiają mechanizmy obronne systemu i zakłócają normalne działanie przed zainicjowaniem ostatecznego ładunku. Ich rola obejmuje pobieranie, deobfuskację i uruchamianie komponentu czyszczącego, zapewniając płynne przejście do fazy destrukcyjnej.

Systematyczna destrukcja: jak działa wycieraczka Lotus

Po aktywacji Lotus Wiper przeprowadza kompleksowy proces usuwania danych, który eliminuje zarówno funkcjonalność systemu, jak i opcje odzyskiwania. Jego destrukcyjne możliwości obejmują:

  • Usuwanie mechanizmów odzyskiwania, w tym punktów przywracania
  • Nadpisywanie sektorów dysku fizycznego zerowanymi danymi
  • Usuwanie plików na wszystkich zamontowanych woluminach
  • Czyszczenie numerów sekwencji aktualizacji (USN) w dziennikach woluminów

Działania te łącznie gwarantują, że uszkodzonych systemów nie da się przywrócić ani odbudować konwencjonalnymi metodami.

Wskaźniki intencji: Brak motywacji finansowej

W przeciwieństwie do ransomware, Lotus Wiper nie zawiera wiadomości wymuszających okup ani instrukcji płatności. Ten brak wyraźnie sugeruje, że kampania nie jest motywowana celami finansowymi, lecz sabotażem lub motywami geopolitycznymi. Warto zauważyć, że próbka złośliwego oprogramowania została publicznie udostępniona w połowie grudnia 2025 roku z systemu wenezuelskiego, na krótko przed działaniami wojskowymi USA w styczniu 2026 roku. Chociaż nie potwierdzono bezpośredniego związku, moment ten zbiega się ze wzrostem liczby doniesień o cyberaktywności wymierzonej w ten sam sektor, co wskazuje na wysoce ukierunkowaną operację.

Ataki na starsze systemy: wykorzystywanie przestarzałych środowisk

Łańcuch ataku rozpoczyna się od skryptu wsadowego, który inicjuje wieloetapowy proces. Jednym z jego pierwszych działań jest próba wyłączenia usługi Windows Interactive Services Detection (UI0Detect). Usługa ta, usunięta we współczesnych wersjach systemu Windows po wersji Windows 10 1803, wskazuje, że złośliwe oprogramowanie zostało zaprojektowane specjalnie z myślą o starszych systemach operacyjnych.

Skrypt sprawdza również obecność udziału NETLOGON i pobiera zdalny plik XML. Porównuje ten plik z lokalnie przechowywaną wersją w katalogach takich jak C:\lotus lub %SystemDrive%\lotus. To zachowanie prawdopodobnie określa, czy system należy do domeny Active Directory. Jeśli zdalny plik jest niedostępny, skrypt kończy działanie; w przeciwnym razie kontynuuje działanie po wprowadzeniu losowego opóźnienia do 20 minut w celu ponownej próby nawiązania połączenia.

Przygotowanie środowiska: wyłączanie i zakłócanie działania systemów

Drugi skrypt wsadowy przygotowuje zainfekowany system do zniszczenia poprzez systematyczne osłabianie jego stanu operacyjnego. Jego działania obejmują:

  • Wyliczanie lokalnych kont użytkowników i wyłączanie buforowanych danych uwierzytelniających
  • Wylogowywanie aktywnych sesji użytkownika
  • Wyłączanie interfejsów sieciowych
  • Wykonanie polecenia diskpart clean all w celu wymazania dysków logicznych

Ponadto wykorzystuje natywne narzędzia systemu Windows, takie jak robocopy do nadpisywania lub usuwania plików i fsutil do tworzenia dużych plików zajmujących całą dostępną przestrzeń dyskową, co skutecznie uniemożliwia próby odzyskania danych.

Ostateczne wykonanie ładunku: nieodwracalne uszkodzenia

Po przygotowaniu wdrażany jest ładunek Lotus Wiper. Kończy on proces niszczenia danych, usuwając punkty przywracania, nadpisując sektory fizyczne, czyszcząc rekordy dziennika i usuwając wszystkie pliki systemowe z zamontowanych woluminów. Na tym etapie odzyskiwanie danych staje się praktycznie niemożliwe bez zewnętrznych kopii zapasowych.

Zalecenia obronne: monitorowanie i łagodzenie

Organizacje, zwłaszcza te działające w sektorach infrastruktury krytycznej, powinny przyjąć proaktywne strategie monitorowania i wykrywania. Kluczowe obszary zainteresowania obejmują:

Monitorowanie zmian w udziałach NETLOGON
Wykrywanie prób zrzucania poświadczeń lub eskalacji uprawnień
Śledzenie nietypowego użycia natywnych narzędzi, takich jak fsutil, robocopy i diskpart

Strategiczny wgląd: dowody wcześniejszego kompromisu

Obecność funkcjonalności dostosowanej do przestarzałych środowisk Windows sugeruje wcześniejsze rozpoznanie i długotrwały dostęp. Atakujący prawdopodobnie posiadali szczegółową wiedzę o atakowanej infrastrukturze i mogli naruszyć środowiska domenowe na długo przed rozpoczęciem fazy destrukcyjnej.

Popularne

Potwierdź nową aktualizację zabezpieczeń prywatności...

Phishing, Spam
Nieoczekiwane wiadomości e-mail wymagające pilnego działania należy zawsze traktować z ostrożnością. Cyberprzestępcy często maskują złośliwe wiadomości pod legalnymi powiadomieniami, aby wykorzystać zaufanie i wywołać panikę. Należy pamiętać, że oszustwa takie jak e-maile z prośbą o potwierdzenie nowej aktualizacji zabezpieczeń prywatności nie są powiązane z żadnymi legalnymi firmami,...

Najczęściej oglądane

Ładowanie...