Скидка на мультилицензию
База данных угроз Вредоносное ПО Стеклоочиститель Lotus

Стеклоочиститель Lotus

К Mezo году в Вредоносное ПО году
Перевести на:

Аналитики в области кибербезопасности выявили ранее не описанное вредоносное ПО для стирания данных, теперь известное как Lotus Wiper, которое использовалось в целенаправленных атаках на энергетический и коммунальный сектор Венесуэлы в период с конца 2025 по начало 2026 года. Это вредоносное ПО разработано для максимального разрушения, делая зараженные системы полностью неработоспособными.

Скоординированное выполнение атаки: многоэтапное развертывание

Атака основана на двух пакетных скриптах, которые организуют тщательно спланированную операцию. Эти скрипты синхронизируют действия в сети, ослабляют защиту системы и нарушают нормальную работу, прежде чем запустить финальную полезную нагрузку. Их роль включает в себя извлечение, деобфускацию и выполнение компонента-очистителя, обеспечивая плавный переход к разрушительной фазе.

Систематическое разрушение: как работает стеклоочиститель Lotus.

После активации Lotus Wiper запускает комплексный процесс удаления данных, который устраняет как функциональность системы, так и возможности восстановления. Его деструктивные возможности включают в себя:

  • Удаление механизмов восстановления, включая точки восстановления.
  • Перезапись секторов физического диска нулевыми данными.
  • Удаление файлов на всех смонтированных томах.
  • Устранение порядковых номеров обновления (USN) в журнальных записях.

В совокупности эти действия гарантируют, что затронутые системы не могут быть восстановлены или перестроены обычными средствами.

Признаки намерений: Отсутствие финансовой мотивации.

В отличие от программ-вымогателей, Lotus Wiper не содержит сообщений с угрозами или инструкций по оплате. Это отсутствие убедительно свидетельствует о том, что кампания движима не финансовыми целями, а скорее саботажем или геополитическими мотивами. Примечательно, что образец вредоносного ПО был опубликован в середине декабря 2025 года с венесуэльской системы, незадолго до начала военных действий США в январе 2026 года. Хотя прямая связь не подтверждена, это совпадает по времени с участившимися сообщениями о кибератаках на тот же сектор, что указывает на высокоцеленаправленную операцию.

Целенаправленное воздействие на устаревшие системы: эксплуатация неэффективных сред

Цепочка атак начинается с пакетного скрипта, который запускает многоэтапный процесс. Одно из его первых действий — попытка отключить службу обнаружения интерактивных служб Windows (UI0Detect). Эта служба, удаленная в современных версиях Windows после Windows 10 версии 1803, указывает на то, что вредоносное ПО специально разработано для атак на более старые операционные системы.

Скрипт также проверяет наличие общего ресурса NETLOGON и извлекает удаленный XML-файл. Он сравнивает этот файл с локально хранящейся версией в таких каталогах, как C:\lotus или %SystemDrive%\lotus. Такое поведение, вероятно, определяет, является ли система частью домена Active Directory. Если удаленный файл недоступен, скрипт завершает работу; в противном случае он продолжает работу после возможной случайной задержки до 20 минут для повторной попытки подключения.

Подготовка среды: отключение и нарушение работы систем.

Второй пакетный скрипт подготавливает скомпрометированную систему к уничтожению, систематически ослабляя её работоспособность. Его действия включают в себя:

  • Перечисление локальных учетных записей пользователей и отключение кэшированных учетных данных.
  • Выход из активных пользовательских сессий.
  • Отключение сетевых интерфейсов
  • Выполнение команды diskpart clean all для стирания данных с логических дисков.

Кроме того, программа использует встроенные утилиты Windows, такие как robocopy, для перезаписи или удаления файлов, а также fsutil для создания больших файлов, которые занимают все доступное дисковое пространство, фактически препятствуя попыткам восстановления.

Завершающий этап выполнения полезной нагрузки: необратимые повреждения

После подготовки развертывается полезная нагрузка Lotus Wiper. Она завершает процесс уничтожения, удаляя точки восстановления, перезаписывая физические сектора, очищая записи журнала и удаляя все системные файлы на смонтированных томах. На этом этапе восстановление становится практически невозможным без внешних резервных копий.

Рекомендации по защите: мониторинг и смягчение последствий

Организациям, особенно тем, которые работают в секторах критической инфраструктуры, следует внедрять стратегии проактивного мониторинга и обнаружения. Ключевые области внимания включают:

Мониторинг изменений в акциях NETLOGON
Выявление попыток кражи учетных данных или повышения привилегий.
Отслеживание необычного использования встроенных инструментов, таких как fsutil, robocopy и diskpart.

Стратегический анализ: свидетельства предшествующих компромиссов

Наличие функциональности, адаптированной к устаревшим средам Windows, указывает на предварительную разведку и длительный доступ. Злоумышленники, вероятно, обладали подробными знаниями о целевой инфраструктуре и могли скомпрометировать доменные среды задолго до начала деструктивной фазы.

В тренде

Forestrievic.com

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Безопасный просмотр веб-страниц требует постоянной бдительности. Мошеннические веб-сайты специально созданы для того, чтобы злоупотреблять доверием пользователей с помощью обманных методов, и одна...

Мошенническое письмо с подтверждением нового...

Фишинг, Спам
К неожиданным электронным письмам с требованием срочных действий всегда следует относиться с осторожностью. Киберпреступники часто маскируют вредоносные сообщения под законные уведомления, чтобы злоупотребить доверием и вызвать панику. Важно понимать, что мошеннические схемы, подобные письмам с «Подтверждением нового обновления безопасности конфиденциальности», не связаны ни с какими законными...

Наиболее просматриваемые

Загрузка...