Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Lotusov brisalec

Lotusov brisalec

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

Analitiki kibernetske varnosti so odkrili prej nedokumentirano zlonamerno programsko opremo za brisanje podatkov, znano kot Lotus Wiper, ki je bila uporabljena v ciljno usmerjenih napadih na venezuelski energetski in komunalni sektor med koncem leta 2025 in začetkom leta 2026. Ta zlonamerna programska oprema je zasnovana za maksimalno uničenje, zaradi česar so okuženi sistemi popolnoma neuporabni.

Koordinirano izvajanje napada: večstopenjska uvedba

Napad se opira na dva paketna skripta, ki orkestrirata skrbno načrtovano operacijo. Ti skripti sinhronizirajo dejavnosti po omrežju, oslabijo obrambo sistema in motijo normalno delovanje, preden sprožijo končni koristni tovor. Njihova vloga vključuje pridobivanje, razkrivanje in izvajanje komponente brisanja, kar zagotavlja nemoten prehod v destruktivno fazo.

Sistematično uničevanje: Kako deluje brisalec Lotus

Ko je Lotus Wiper aktiviran, izvede obsežen postopek izbrisa podatkov, ki odstrani tako funkcionalnost sistema kot možnosti obnovitve. Njegove uničujoče zmogljivosti vključujejo:

  • Odstranitev mehanizmov za obnovitev, vključno z obnovitvenimi točkami
  • Prepisovanje sektorjev fizičnega pogona z ničelnimi podatki
  • Brisanje datotek na vseh nameščenih nosilcih
  • Brisanje zaporednih številk posodobitev (USN) v dnevnikih zvezkov

Ti ukrepi skupaj zagotavljajo, da prizadetih sistemov ni mogoče obnoviti ali ponovno zgraditi s konvencionalnimi sredstvi.

Kazalniki namere: Ni finančno motiviran

Za razliko od izsiljevalske programske opreme Lotus Wiper ne vsebuje izsiljevalskih sporočil ali navodil za plačilo. Ta odsotnost močno kaže na to, da kampanje ne vodijo finančni cilji, temveč sabotaža ali geopolitični motivi. Omeniti velja, da je bil vzorec zlonamerne programske opreme javno naložen sredi decembra 2025 iz venezuelskega sistema, malo pred ameriško vojaško aktivnostjo januarja 2026. Čeprav ni bila potrjena nobena neposredna povezava, čas sovpada s povečanim številom poročil o kibernetski aktivnosti, usmerjeni v isti sektor, kar kaže na zelo osredotočeno operacijo.

Ciljanje na starejše sisteme: izkoriščanje zastarelih okolij

Veriga napadov se začne s paketnim skriptom, ki sproži večstopenjski proces. Eno od njegovih zgodnjih dejanj je poskus onemogočanja storitve zaznavanja interaktivnih storitev sistema Windows (UI0Detect). Ta storitev, ki je bila v sodobnih različicah sistema Windows odstranjena po različici sistema Windows 10 1803, kaže, da je zlonamerna programska oprema posebej zasnovana za ciljanje starejših operacijskih sistemov.

Skript preveri tudi prisotnost deljenega prostora NETLOGON in pridobi oddaljeno datoteko XML. To datoteko primerja z lokalno shranjeno različico v imenikih, kot sta C:\lotus ali %SystemDrive%\lotus. To vedenje verjetno določa, ali je sistem del domene Active Directory. Če oddaljena datoteka ni na voljo, se skript zaključi; sicer nadaljuje po morebitni uvedbi naključnega zamika do 20 minut za ponovni poskus povezave.

Priprava okolja: onemogočanje in motenje sistemov

Druga paketna skripta pripravi ogroženi sistem na uničenje s sistematičnim slabljenjem njegovega operativnega stanja. Njena dejanja vključujejo:

  • Naštevanje lokalnih uporabniških računov in onemogočanje predpomnjenih poverilnic
  • Odjava aktivnih uporabniških sej
  • Onemogočanje omrežnih vmesnikov
  • Izvajanje ukaza diskpart clean all za brisanje logičnih pogonov

Poleg tega uporablja izvorne pripomočke sistema Windows, kot je robocopy, za prepisovanje ali brisanje datotek in fsutil za ustvarjanje velikih datotek, ki porabijo ves razpoložljivi prostor na disku, kar učinkovito preprečuje poskuse obnovitve.

Končna izvedba koristnega tovora: Nepopravljiva škoda

Po pripravi se namesti koristni tovor Lotus Wiper. Ta zaključi postopek uničenja z brisanjem obnovitvenih točk, prepisovanjem fizičnih sektorjev, brisanjem zapisov dnevnika in odstranitvijo vseh sistemskih datotek na nameščenih nosilcih. Na tej stopnji je obnovitev praktično nemogoča brez zunanjih varnostnih kopij.

Obrambna priporočila: Spremljanje in blaženje

Organizacije, zlasti tiste v sektorjih kritične infrastrukture, bi morale sprejeti proaktivne strategije spremljanja in odkrivanja. Ključna področja osredotočenosti vključujejo:

Spremljanje sprememb v delnicah NETLOGON
Zaznavanje poskusov izgubljanja poverilnic ali stopnjevanja privilegijev
Sledenje nenavadni uporabi izvornih orodij, kot so fsutil, robocopy in diskpart

Strateški vpogled: dokazi o predhodnem kompromisu

Prisotnost funkcionalnosti, prilagojene zastarelim okoljem sistema Windows, kaže na predhodno izvidovanje in dolgoročen dostop. Napadalci so verjetno podrobno poznali ciljno infrastrukturo in so morda ogrozili domenska okolja že veliko pred začetkom destruktivne faze.

V trendu

Potrdite novo posodobitev zasebnosti in varnostne...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo nujno ukrepanje, je treba vedno obravnavati previdno. Kibernetski kriminalci pogosto prikrijejo zlonamerna sporočila kot legitimna obvestila, da bi izkoristili zaupanje in sprožili paniko. Pomembno je vedeti, da prevare, kot so e-poštna sporočila »Potrdi novo posodobitev zasebnosti«, niso povezane z nobenim legitimnim podjetjem, organizacijo ali...

Najbolj gledan

Nalaganje...