Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Lotus-torkare

Lotus-torkare

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsanalytiker har identifierat en tidigare odokumenterad skadlig kod för datarensning, numera känd som Lotus Wiper, som användes i riktade attacker mot Venezuelas energi- och elsektor mellan slutet av 2025 och början av 2026. Denna skadliga kod är utformad för maximal förstörelse och gör infekterade system helt obrukbara.

Koordinerad attackutförande: Flerstegsdistribution

Attacken förlitar sig på två batchskript som orkestrerar en noggrant iscensatt operation. Dessa skript synkroniserar aktiviteter över nätverket, försvagar systemförsvar och stör normal drift innan den slutliga nyttolasten initieras. Deras roll inkluderar att hämta, deobfuskera och köra wiper-komponenten, vilket säkerställer en sömlös övergång till den destruktiva fasen.

Systematisk förstörelse: Hur Lotus Wiper fungerar

När Lotus Wiper aktiverats utför den en omfattande dataraderingsprocess som eliminerar både systemfunktionalitet och återställningsalternativ. Dess destruktiva funktioner inkluderar:

  • Borttagning av återställningsmekanismer, inklusive återställningspunkter
  • Överskrivning av fysiska hårddisksektorer med nollställd data
  • Radering av filer på alla monterade volymer
  • Rensning av uppdateringssekvensnummer (USN) i volymjournaler

Dessa åtgärder säkerställer tillsammans att berörda system inte kan återställas eller återuppbyggas med konventionella metoder.

Avsiktsindikatorer: Inte ekonomiskt motiverade

Till skillnad från ransomware innehåller Lotus Wiper inga utpressningsmeddelanden eller betalningsinstruktioner. Denna avsaknad tyder starkt på att kampanjen inte drivs av ekonomiska mål utan snarare av sabotage eller geopolitiska motiv. Det är värt att notera att skadlig kod-exemplet laddades upp offentligt i mitten av december 2025 från ett venezuelanskt system, strax före amerikansk militär aktivitet i januari 2026. Även om ingen direkt koppling har bekräftats, sammanfaller tidpunkten med ökade rapporter om cyberaktivitet riktad mot samma sektor, vilket indikerar en mycket fokuserad operation.

Inriktning på äldre system: Utnyttjande av föråldrade miljöer

Attackkedjan börjar med ett batchskript som initierar en process i flera steg. En av dess tidiga åtgärder är att försöka inaktivera tjänsten Windows Interactive Services Detection (UI0Detect). Denna tjänst, som togs bort i moderna Windows-versioner efter Windows 10 version 1803, indikerar att skadlig programvara är specifikt utformad för att rikta in sig på äldre operativsystem.

Skriptet kontrollerar även om det finns en NETLOGON-resurs och hämtar en fjärr-XML-fil. Den jämför filen med en lokalt lagrad version i kataloger som C:\lotus eller %SystemDrive%\lotus. Detta beteende avgör sannolikt om systemet är en del av en Active Directory-domän. Om fjärrfilen inte är tillgänglig avslutas skriptet; annars fortsätter det efter att eventuellt ha introducerat en slumpmässig fördröjning på upp till 20 minuter för att försöka återupprätta anslutningen.

Miljöförberedelse: Inaktivera och störa system

Det andra batchskriptet förbereder det komprometterade systemet för förstörelse genom att systematiskt försvaga dess drifttillstånd. Dess åtgärder inkluderar:

  • Räkna upp lokala användarkonton och inaktivera cachade inloggningsuppgifter
  • Logga ut aktiva användarsessioner
  • Inaktivera nätverksgränssnitt
  • Kör kommandot diskpart clean all för att radera logiska enheter

Dessutom använder den inbyggda Windows-verktyg som robocopy för att skriva över eller ta bort filer och fsutil för att skapa stora filer som förbrukar allt tillgängligt diskutrymme, vilket effektivt förhindrar återställningsförsörjning.

Slutgiltig nyttolastutförande: Irreversibel skada

Efter förberedelserna driftsätts Lotus Wiper-nyttolasten. Den slutför destruktionsprocessen genom att ta bort återställningspunkter, skriva över fysiska sektorer, rensa journalposter och ta bort alla systemfiler på monterade volymer. I detta skede blir återställning praktiskt taget omöjlig utan externa säkerhetskopior.

Defensiva rekommendationer: Övervakning och begränsning

Organisationer, särskilt de inom kritiska infrastruktursektorer, bör anta proaktiva övervaknings- och detekteringsstrategier. Viktiga fokusområden inkluderar:

Övervaka förändringar i NETLOGON-delningar
Upptäcka dumpning av autentiseringsuppgifter eller försök till eskalering av privilegier
Spåra ovanlig användning av inbyggda verktyg som fsutil, robocopy och diskpart

Strategisk insikt: Bevis på tidigare kompromisser

Förekomsten av funktionalitet anpassad till föråldrade Windows-miljöer tyder på tidigare rekognoscering och långvarig åtkomst. Angriparna hade sannolikt detaljerad kunskap om den riktade infrastrukturen och kan ha komprometterat domänmiljöer långt innan den destruktiva fasen inleddes.

Trendigt

Bekräfta ny e-postbedrägeri om sekretessuppdateringar

Nätfiske, Spam
Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet. Cyberbrottslingar döljer ofta skadliga meddelanden som legitima aviseringar för att utnyttja förtroende och utlösa panik. Det är viktigt att inse att bedrägerier som e-postmeddelandena "Bekräfta ny integritets- och säkerhetsuppdatering" inte är kopplade till några legitima företag, organisationer...

Mest sedda

Läser in...