Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Lotus Wiper

Lotus Wiper

Nga MezoMalware
Përkthe në:

Analistët e sigurisë kibernetike kanë identifikuar një program keqdashës që fshin të dhëna, i cili më parë nuk ishte dokumentuar, i njohur tani si Lotus Wiper, i vendosur në sulme të synuara kundër sektorit të energjisë dhe shërbimeve të Venezuelës midis fundit të vitit 2025 dhe fillimit të vitit 2026. Ky program keqdashës është projektuar për shkatërrim maksimal, duke i bërë sistemet e infektuara plotësisht të paoperueshme.

Ekzekutim i Koordinuar i Sulmit: Vendosje Shumëfazore

Sulmi mbështetet në dy skripte batch që orkestrojnë një operacion të organizuar me kujdes. Këto skripte sinkronizojnë aktivitetet në të gjithë rrjetin, dobësojnë mbrojtjen e sistemit dhe ndërpresin operacionet normale para se të fillojnë ngarkesën përfundimtare. Roli i tyre përfshin rikuperimin, çbllokimin dhe ekzekutimin e komponentit të fshirësit, duke siguruar një kalim të qetë në fazën shkatërruese.

Shkatërrim Sistematik: Si Funksionon Lotus Wiper

Pasi aktivizohet, Lotus Wiper ekzekuton një proces gjithëpërfshirës të zhdukjes së të dhënave që eliminon si funksionalitetin e sistemit ashtu edhe opsionet e rikuperimit. Aftësitë e tij shkatërruese përfshijnë:

  • Heqja e mekanizmave të rikuperimit, duke përfshirë pikat e rikuperimit
  • Mbishkrimi i sektorëve fizikë të diskut me të dhëna të zerozuara
  • Fshirja e skedarëve në të gjitha vëllimet e montuara
  • Pastrimi i Numrave të Sekuencës së Përditësimit (USN) në revistat e vëllimit

Këto veprime së bashku sigurojnë që sistemet e prekura nuk mund të restaurohen ose rindërtohen me mjete konvencionale.

Treguesit e Qëllimit: Jo i Motivuar Financiar

Ndryshe nga ransomware-i, Lotus Wiper nuk përmban mesazhe zhvatjeje ose udhëzime pagese. Kjo mungesë sugjeron fuqimisht se fushata nuk drejtohet nga objektiva financiare, por nga sabotim ose motive gjeopolitike. Veçanërisht, mostra e malware-it u ngarkua publikisht në mesin e dhjetorit 2025 nga një sistem venezuelian, pak para aktivitetit ushtarak amerikan në janar 2026. Edhe pse nuk është konfirmuar asnjë lidhje e drejtpërdrejtë, koha përkon me raportimet në rritje të aktivitetit kibernetik që synon të njëjtin sektor, duke treguar një operacion shumë të fokusuar.

Synimi i sistemeve të vjetra: Shfrytëzimi i mjediseve të vjetruara

Zinxhiri i sulmit fillon me një skript batch që fillon një proces me shumë faza. Një nga veprimet e tij të hershme është përpjekja për të çaktivizuar shërbimin e Detektimit të Shërbimeve Ndërvepruese të Windows (UI0Detect). Ky shërbim, i hequr në versionet moderne të Windows pas versionit 1803 të Windows 10, tregon se programi keqdashës është projektuar posaçërisht për të synuar sistemet operative më të vjetra.

Skripti kontrollon gjithashtu praninë e një ndarjeje NETLOGON dhe merr një skedar XML të largët. Ai e krahason këtë skedar me një version të ruajtur lokalisht në drejtori të tilla si C:\lotus ose %SystemDrive%\lotus. Kjo sjellje ka të ngjarë të përcaktojë nëse sistemi është pjesë e një domeni Active Directory. Nëse skedari i largët nuk është i disponueshëm, skripti përfundon; përndryshe, ai vazhdon pasi të ketë futur potencialisht një vonesë të rastësishme deri në 20 minuta për të riprovuar lidhjen.

Përgatitja e Mjedisit: Çaktivizimi dhe Ndërprerja e Sistemeve

Skripti i dytë i grupit përgatit sistemin e kompromentuar për shkatërrim duke dobësuar sistematikisht gjendjen e tij operative. Veprimet e tij përfshijnë:

  • Numërimi i llogarive të përdoruesve lokalë dhe çaktivizimi i kredencialeve të ruajtura në memorje
  • Çaktivizimi i seancave aktive të përdoruesit
  • Çaktivizimi i ndërfaqeve të rrjetit
  • Ekzekutimi i komandës diskpart clean all për të fshirë disqet logjike

Për më tepër, ai shfrytëzon shërbimet native të Windows, të tilla si robocopy, për të mbishkruar ose fshirë skedarët dhe fsutil për të krijuar skedarë të mëdhenj që konsumojnë të gjithë hapësirën e disponueshme të diskut, duke parandaluar në mënyrë efektive përpjekjet e rikuperimit.

Ekzekutimi përfundimtar i ngarkesës: Dëmtim i pakthyeshëm

Pas përgatitjes, ngarkesa e Lotus Wiper vendoset. Ai përfundon procesin e shkatërrimit duke fshirë pikat e rikuperimit, duke mbishkruar sektorët fizikë, duke pastruar të dhënat e ditarit dhe duke hequr të gjitha skedarët e sistemit në vëllimet e montuara. Në këtë fazë, rikuperimi bëhet praktikisht i pamundur pa kopje rezervë të jashtme.

Rekomandime Mbrojtëse: Monitorimi dhe Zbutja

Organizatat, veçanërisht ato në sektorët e infrastrukturës kritike, duhet të miratojnë strategji proaktive të monitorimit dhe zbulimit. Fushat kryesore të fokusit përfshijnë:

Monitorimi i ndryshimeve në aksionet e NETLOGON
Zbulimi i hedhjes së kredencialeve ose përpjekjeve për përshkallëzim të privilegjeve
Ndjekja e përdorimit të pazakontë të mjeteve native si fsutil, robocopy dhe diskpart

Vështrim Strategjik: Dëshmi e Kompromisit të Mëparshëm

Prania e funksionalitetit të përshtatur për mjedise të vjetruara të Windows sugjeron zbulim paraprak dhe akses afatgjatë. Sulmuesit ka të ngjarë të kenë pasur njohuri të hollësishme të infrastrukturës së synuar dhe mund të kenë kompromentuar mjediset e domenit shumë kohë përpara se të nisnin fazën shkatërruese.

Në trend

Konfirmo mashtrimin me email të përditësimit të ri...

Fishing, Spam
Emailet e papritura që kërkojnë veprime urgjente duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë shpesh i maskojnë mesazhet keqdashëse si njoftime legjitime për të shfrytëzuar besimin dhe për të shkaktuar panik. Është thelbësore të pranohet se mashtrimet si emailet 'Konfirmo Përditësimin e Ri të Sigurisë së Privatësisë' nuk shoqërohen me asnjë kompani, organizatë apo entitet...

Më e shikuara

Po ngarkohet...