Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Ștergător de parbriz Lotus

Ștergător de parbriz Lotus

Până în Mezo în Programe malware
Tradu in:

Analiștii în domeniul securității cibernetice au identificat un malware de ștergere a datelor, nedocumentat anterior, cunoscut acum sub numele de Lotus Wiper, utilizat în atacuri direcționate împotriva sectorului energetic și al utilităților din Venezuela între sfârșitul anului 2025 și începutul anului 2026. Acest malware este conceput pentru distrugere maximă, făcând sistemele infectate complet inoperabile.

Executarea coordonată a atacurilor: Implementare în mai multe etape

Atacul se bazează pe două scripturi batch care orchestrează o operațiune atent etapizată. Aceste scripturi sincronizează activitățile din rețea, slăbesc apărarea sistemului și perturbă operațiunile normale înainte de a iniția sarcina utilă finală. Rolul lor include recuperarea, deobfuscarea și executarea componentei wiper, asigurând o tranziție fără probleme către faza distructivă.

Distrugere sistematică: Cum funcționează ștergătoarele Lotus

Odată activat, Lotus Wiper execută un proces complet de eradicare a datelor care elimină atât funcționalitatea sistemului, cât și opțiunile de recuperare. Capacitățile sale distructive includ:

  • Eliminarea mecanismelor de recuperare, inclusiv a punctelor de restaurare
  • Suprascrierea sectoarelor unității fizice cu date aduse la zero
  • Ștergerea fișierelor din toate volumele montate
  • Ștergerea numerelor de secvență de actualizare (USN) în jurnalele de volum

Aceste acțiuni asigură, împreună, că sistemele afectate nu pot fi restaurate sau reconstruite prin mijloace convenționale.

Indicatori de intenție: Nu este motivat financiar

Spre deosebire de ransomware, Lotus Wiper nu conține mesaje de extorcare sau instrucțiuni de plată. Această absență sugerează cu tărie că această campanie nu este condusă de obiective financiare, ci mai degrabă de sabotaj sau motive geopolitice. În special, eșantionul de malware a fost încărcat public la mijlocul lunii decembrie 2025 dintr-un sistem venezuelean, cu puțin timp înainte de activitatea militară americană din ianuarie 2026. Deși nu a fost confirmată nicio legătură directă, momentul coincide cu creșterea numărului de rapoarte privind activitatea cibernetică care vizează același sector, indicând o operațiune extrem de concentrată.

Vizarea sistemelor vechi: Exploatarea mediilor învechite

Lanțul de atac începe cu un script batch care inițiază un proces în mai multe etape. Una dintre primele sale acțiuni este încercarea de a dezactiva serviciul Windows Interactive Services Detection (UI0Detect). Acest serviciu, eliminat în versiunile moderne de Windows după Windows 10 versiunea 1803, indică faptul că malware-ul este conceput special pentru a viza sistemele de operare mai vechi.

Scriptul verifică, de asemenea, prezența unei partajări NETLOGON și preia un fișier XML la distanță. Compară acest fișier cu o versiune stocată local în directoare precum C:\lotus sau %SystemDrive%\lotus. Acest comportament determină probabil dacă sistemul face parte dintr-un domeniu Active Directory. Dacă fișierul la distanță nu este disponibil, scriptul se termină; în caz contrar, continuă după ce introduce, eventual, o întârziere aleatorie de până la 20 de minute pentru reîncercarea conectivității.

Pregătirea mediului: Dezactivarea și întreruperea sistemelor

Al doilea script batch pregătește sistemul compromis pentru distrugere prin slăbirea sistematică a stării sale operaționale. Acțiunile sale includ:

  • Enumerarea conturilor de utilizator locale și dezactivarea acreditărilor memorate în cache
  • Deconectarea sesiunilor active ale utilizatorilor
  • Dezactivarea interfețelor de rețea
  • Executarea comenzii diskpart clean all pentru a șterge unitățile logice

În plus, utilizează utilitare native Windows, cum ar fi robocopy, pentru a suprascrie sau șterge fișiere și fsutil pentru a crea fișiere mari care consumă tot spațiul disponibil pe disc, împiedicând eficient eforturile de recuperare.

Execuția finală a sarcinii utile: Daune ireversibile

După pregătire, se implementează sarcina utilă Lotus Wiper. Aceasta finalizează procesul de distrugere prin ștergerea punctelor de restaurare, suprascrierea sectoarelor fizice, ștergerea înregistrărilor din jurnal și eliminarea tuturor fișierelor de sistem din volumele montate. În această etapă, recuperarea devine practic imposibilă fără copii de rezervă externe.

Recomandări defensive: Monitorizare și atenuare

Organizațiile, în special cele din sectoarele de infrastructură critică, ar trebui să adopte strategii proactive de monitorizare și detectare. Domeniile cheie de interes includ:

Monitorizarea modificărilor partajărilor NETLOGON
Detectarea încercărilor de transfer de acreditări sau de escaladare a privilegiilor
Urmărirea utilizării neobișnuite a instrumentelor native precum fsutil, robocopy și diskpart

Perspectivă strategică: Dovezi ale compromisurilor anterioare

Prezența funcționalităților adaptate mediilor Windows învechite sugerează o recunoaștere anterioară și acces pe termen lung. Atacatorii aveau probabil cunoștințe detaliate despre infrastructura vizată și este posibil să fi compromis mediile de domeniu cu mult înainte de a lansa faza distructivă.

Trending

Confirmați noua actualizare de securitate a...

phishing, Spam
E-mailurile neașteptate care necesită acțiuni urgente trebuie tratate întotdeauna cu prudență. Infractorii cibernetici deghizează frecvent mesajele rău intenționate în notificări legitime pentru a exploata încrederea și a declanșa panică. Este esențial să recunoaștem că escrocheriile precum e-mailurile „Confirmați noua actualizare de securitate a confidențialității” nu sunt asociate cu nicio...

Cele mai văzute

Se încarcă...