Lotus Wiper

సైబర్‌ సెక్యూరిటీ విశ్లేషకులు, 2025 చివరి నుండి 2026 ప్రారంభం మధ్య వెనిజులా ఇంధన మరియు యుటిలిటీస్ రంగంపై లక్షిత దాడులలో ప్రయోగించబడిన, ఇంతకుముందు నమోదుకాని డేటా-వైపింగ్ మాల్వేర్‌ను (ఇప్పుడు లోటస్ వైపర్ అని పిలుస్తున్నారు) గుర్తించారు. ఈ మాల్వేర్ గరిష్ట విధ్వంసం సృష్టించేలా రూపొందించబడింది, ఇది సోకిన సిస్టమ్‌లను పూర్తిగా పనిచేయకుండా చేస్తుంది.

సమన్వయ దాడి అమలు: బహుళ-దశల విస్తరణ

ఈ దాడి, జాగ్రత్తగా రూపొందించిన ఒక ఆపరేషన్‌ను నిర్వహించే రెండు బ్యాచ్ స్క్రిప్ట్‌లపై ఆధారపడి ఉంటుంది. ఈ స్క్రిప్ట్‌లు నెట్‌వర్క్ అంతటా కార్యకలాపాలను సమకాలీకరించి, సిస్టమ్ రక్షణలను బలహీనపరిచి, చివరి పేలోడ్‌ను ప్రారంభించే ముందు సాధారణ కార్యకలాపాలకు అంతరాయం కలిగిస్తాయి. వైపర్ కాంపోనెంట్‌ను తిరిగి పొందడం, డీఓబిఫస్కేట్ చేయడం మరియు అమలు చేయడం, తద్వారా విధ్వంసక దశలోకి సజావుగా మారేలా చూడటం వీటి పాత్రలో భాగంగా ఉంటుంది.

క్రమబద్ధమైన విధ్వంసం: లోటస్ వైపర్ ఎలా పనిచేస్తుంది

ఒకసారి యాక్టివేట్ అయిన తర్వాత, లోటస్ వైపర్ ఒక సమగ్ర డేటా నిర్మూలన ప్రక్రియను అమలు చేస్తుంది, ఇది సిస్టమ్ కార్యాచరణను మరియు పునరుద్ధరణ ఎంపికలను రెండింటినీ తొలగిస్తుంది. దీని విధ్వంసక సామర్థ్యాలు:

• పునరుద్ధరణ పాయింట్లతో సహా రికవరీ యంత్రాంగాలను తొలగించడం
• భౌతిక డ్రైవ్ సెక్టార్లను సున్నా చేసిన డేటాతో ఓవర్‌రైట్ చేయడం
• మౌంట్ చేయబడిన అన్ని వాల్యూమ్‌లలో ఫైల్‌లను తొలగించడం
• వాల్యూమ్ జర్నల్స్‌లో అప్‌డేట్ సీక్వెన్స్ నంబర్‌ల (USN) తొలగింపు

ఈ చర్యలన్నీ కలిసి, ప్రభావితమైన వ్యవస్థలను సాంప్రదాయ పద్ధతుల ద్వారా పునరుద్ధరించడం లేదా పునర్నిర్మించడం సాధ్యం కాదని నిర్ధారిస్తాయి.

ఉద్దేశ సూచికలు: ఆర్థికంగా ప్రేరేపించబడలేదు

రాన్సమ్‌వేర్‌లా కాకుండా, లోటస్ వైపర్‌లో బెదిరింపు సందేశాలు లేదా చెల్లింపు సూచనలు లేవు. ఇవి లేకపోవడం, ఈ ప్రచారం ఆర్థిక లక్ష్యాలతో కాకుండా విధ్వంసం లేదా భౌగోళిక రాజకీయ ఉద్దేశ్యాలతో నడుస్తోందని గట్టిగా సూచిస్తోంది. ముఖ్యంగా, జనవరి 2026లో అమెరికా సైనిక చర్యలకు కొద్దికాలం ముందు, డిసెంబర్ 2025 మధ్యలో ఒక వెనిజులా సిస్టమ్ నుండి ఈ మాల్వేర్ నమూనా బహిరంగంగా అప్‌లోడ్ చేయబడింది. ప్రత్యక్ష సంబంధం ఏదీ ధృవీకరించబడనప్పటికీ, ఇదే రంగాన్ని లక్ష్యంగా చేసుకుని సైబర్ కార్యకలాపాలు పెరిగాయని నివేదికలు వెలువడిన సమయంతో ఇది సరిపోలుతోంది, ఇది అత్యంత కేంద్రీకృతమైన ఆపరేషన్‌ను సూచిస్తోంది.

లెగసీ సిస్టమ్‌లను లక్ష్యంగా చేసుకోవడం: పాతబడిన వాతావరణాలను దుర్వినియోగం చేయడం

ఈ దాడి గొలుసు ఒక బ్యాచ్ స్క్రిప్ట్‌తో మొదలవుతుంది, ఇది అనేక దశల ప్రక్రియను ప్రారంభిస్తుంది. దీని తొలి చర్యలలో ఒకటి, విండోస్ ఇంటరాక్టివ్ సర్వీసెస్ డిటెక్షన్ (UI0Detect) సర్వీస్‌ను నిలిపివేయడానికి ప్రయత్నించడం. విండోస్ 10 వెర్షన్ 1803 తర్వాత ఆధునిక విండోస్ వెర్షన్‌లలో తొలగించబడిన ఈ సర్వీస్, ఈ మాల్వేర్ ప్రత్యేకంగా పాత ఆపరేటింగ్ సిస్టమ్‌లను లక్ష్యంగా చేసుకుని రూపొందించబడిందని సూచిస్తుంది.

ఈ స్క్రిప్ట్ NETLOGON షేర్ ఉనికిని కూడా తనిఖీ చేస్తుంది మరియు ఒక రిమోట్ XML ఫైల్‌ను తిరిగి పొందుతుంది. ఇది ఈ ఫైల్‌ను C:\lotus లేదా %SystemDrive%\lotus వంటి డైరెక్టరీలలో స్థానికంగా నిల్వ చేయబడిన వెర్షన్‌తో పోలుస్తుంది. ఈ ప్రవర్తన, సిస్టమ్ యాక్టివ్ డైరెక్టరీ డొమైన్‌లో భాగమా కాదా అని బహుశా నిర్ధారిస్తుంది. ఒకవేళ రిమోట్ ఫైల్ అందుబాటులో లేకపోతే, స్క్రిప్ట్ ముగుస్తుంది; లేకపోతే, కనెక్టివిటీని మళ్లీ ప్రయత్నించడానికి 20 నిమిషాల వరకు యాదృచ్ఛిక ఆలస్యాన్ని ప్రవేశపెట్టిన తర్వాత అది కొనసాగుతుంది.

పర్యావరణ సన్నద్ధత: వ్యవస్థలను నిలిపివేయడం మరియు అంతరాయం కలిగించడం

రెండవ బ్యాచ్ స్క్రిప్ట్, దెబ్బతిన్న సిస్టమ్ యొక్క కార్యాచరణ స్థితిని క్రమపద్ధతిలో బలహీనపరచడం ద్వారా దానిని నాశనానికి సిద్ధం చేస్తుంది. దాని చర్యలు:

• స్థానిక వినియోగదారు ఖాతాలను జాబితా చేయడం మరియు కాష్ చేసిన ఆధారాలను నిలిపివేయడం
• క్రియాశీల వినియోగదారు సెషన్‌లను లాగ్ ఆఫ్ చేయడం
• నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లను నిలిపివేయడం
• లాజికల్ డ్రైవ్‌లను చెరిపివేయడానికి diskpart clean all కమాండ్‌ను అమలు చేయడం

దీనికి అదనంగా, ఇది ఫైళ్లను ఓవర్‌రైట్ చేయడానికి లేదా తొలగించడానికి robocopy వంటి స్థానిక విండోస్ యుటిలిటీలను మరియు అందుబాటులో ఉన్న మొత్తం డిస్క్ స్థలాన్ని వినియోగించుకునే పెద్ద ఫైళ్లను సృష్టించడానికి fsutil ను ఉపయోగించుకుంటుంది, తద్వారా రికవరీ ప్రయత్నాలను సమర్థవంతంగా నిరోధిస్తుంది.

తుది పేలోడ్ అమలు: కోలుకోలేని నష్టం

సన్నాహాల తర్వాత, లోటస్ వైపర్ పేలోడ్ అమలు చేయబడుతుంది. ఇది రీస్టోర్ పాయింట్‌లను తొలగించడం, ఫిజికల్ సెక్టార్‌లను ఓవర్‌రైట్ చేయడం, జర్నల్ రికార్డులను క్లియర్ చేయడం మరియు మౌంట్ చేయబడిన వాల్యూమ్‌లలోని అన్ని సిస్టమ్ ఫైల్‌లను తీసివేయడం ద్వారా విధ్వంస ప్రక్రియను పూర్తి చేస్తుంది. ఈ దశలో, బాహ్య బ్యాకప్‌లు లేకుండా రికవరీ దాదాపు అసాధ్యం అవుతుంది.

రక్షణాత్మక సిఫార్సులు: పర్యవేక్షణ మరియు ఉపశమనం

సంస్థలు, ముఖ్యంగా కీలక మౌలిక సదుపాయాల రంగాలలో ఉన్నవి, చురుకైన పర్యవేక్షణ మరియు గుర్తింపు వ్యూహాలను అవలంబించాలి. దృష్టి సారించాల్సిన కీలక అంశాలు:

NETLOGON షేర్లలో మార్పులను పర్యవేక్షించడం
క్రెడెన్షియల్ డంపింగ్ లేదా ప్రివిలేజ్ ఎస్కలేషన్ ప్రయత్నాలను గుర్తించడం
fsutil, robocopy, మరియు diskpart వంటి స్థానిక సాధనాల అసాధారణ వినియోగాన్ని ట్రాక్ చేయడం

వ్యూహాత్మక అంతర్దృష్టి: మునుపటి రాజీకి సాక్ష్యం

పాతబడిన విండోస్ పరిసరాలకు అనుగుణంగా రూపొందించిన కార్యాచరణ ఉండటం అనేది ముందస్తు నిఘా మరియు దీర్ఘకాలిక ప్రాప్యతను సూచిస్తుంది. దాడి చేసేవారికి లక్ష్యంగా చేసుకున్న మౌలిక సదుపాయాల గురించి వివరమైన జ్ఞానం ఉండే అవకాశం ఉంది మరియు వారు విధ్వంసకర దశను ప్రారంభించడానికి చాలా కాలం ముందే డొమైన్ పరిసరాలను దెబ్బతీసి ఉండవచ్చు.