Склоочисник Lotus
Аналітики з кібербезпеки виявили раніше не документоване шкідливе програмне забезпечення для видалення даних, тепер відоме як Lotus Wiper, яке було використано в цілеспрямованих атаках на енергетичний та комунальний сектор Венесуели в період з кінця 2025 року до початку 2026 року. Це шкідливе програмне забезпечення розроблене для максимального руйнування, що робить заражені системи повністю непрацездатними.
Зміст
Скоординоване виконання атаки: багатоетапне розгортання
Атака спирається на два пакетні скрипти, які керують ретельно спланованою операцією. Ці скрипти синхронізують дії в мережі, послаблюють захист системи та порушують нормальну роботу перед ініціюванням останнього корисного навантаження. Їхня роль включає отримання, деобфускацію та виконання компонента стирання, забезпечуючи плавний перехід до деструктивної фази.
Систематичне знищення: як працює склоочисник Lotus
Після активації Lotus Wiper виконує комплексний процес видалення даних, який усуває як функціональність системи, так і можливості відновлення. Його руйнівні можливості включають:
- Видалення механізмів відновлення, включаючи точки відновлення
- Перезапис секторів фізичного диска з обнуленими даними
- Видалення файлів на всіх підключених томах
- Очищення порядкових номерів оновлень (USN) у журналах томів
Ці дії разом гарантують, що уражені системи не можуть бути відновлені або перебудовані звичайними засобами.
Ознаки наміру: Не фінансово мотивований
На відміну від програм-вимагачів, Lotus Wiper не містить повідомлень про вимагання чи платіжних інструкцій. Ця відсутність переконливо свідчить про те, що кампанія керується не фінансовими цілями, а радше саботажем чи геополітичними мотивами. Примітно, що зразок шкідливого програмного забезпечення був завантажений публічно в середині грудня 2025 року з венесуельської системи, незадовго до військової діяльності США в січні 2026 року. Хоча прямого зв'язку не було підтверджено, час збігається зі збільшенням кількості повідомлень про кіберактивність, спрямовану проти того ж сектора, що свідчить про дуже цілеспрямовану операцію.
Націлювання на застарілі системи: використання застарілих середовищ
Ланцюг атаки починається з пакетного скрипта, який ініціює багатоетапний процес. Однією з його ранніх дій є спроба вимкнути службу виявлення інтерактивних служб Windows (UI0Detect). Ця служба, видалена в сучасних версіях Windows після Windows 10 версії 1803, вказує на те, що шкідливе програмне забезпечення спеціально розроблене для атаки на старіші операційні системи.
Скрипт також перевіряє наявність спільного ресурсу NETLOGON та отримує віддалений XML-файл. Він порівнює цей файл з локально збереженою версією в каталогах, таких як C:\lotus або %SystemDrive%\lotus. Така поведінка, ймовірно, визначає, чи є система частиною домену Active Directory. Якщо віддалений файл недоступний, скрипт завершується; в іншому випадку він продовжує роботу після потенційно випадкової затримки до 20 хвилин для повторної спроби підключення.
Підготовка середовища: Виведення з ладу та порушення роботи систем
Другий пакетний скрипт готує скомпрометовану систему до знищення, систематично послаблюючи її працездатність. Його дії включають:
- Перерахування локальних облікових записів користувачів та вимкнення кешованих облікових даних
- Вихід з активних сеансів користувача
- Вимкнення мережевих інтерфейсів
- Виконання команди diskpart clean all для стирання логічних дисків
Крім того, він використовує вбудовані утиліти Windows, такі як robocopy, для перезапису або видалення файлів та fsutil для створення великих файлів, які займають весь доступний дисковий простір, що ефективно запобігає спробам відновлення.
Остаточне виконання корисного навантаження: Незворотні пошкодження
Після підготовки розгортається корисне навантаження Lotus Wiper. Воно завершує процес знищення, видаляючи точки відновлення, перезаписуючи фізичні сектори, очищуючи записи журналу та видаляючи всі системні файли на змонтованих томах. На цьому етапі відновлення стає практично неможливим без зовнішніх резервних копій.
Рекомендації щодо захисту: моніторинг та пом’якшення наслідків
Організації, особливо ті, що працюють у секторах критичної інфраструктури, повинні застосовувати проактивні стратегії моніторингу та виявлення. Ключові напрямки діяльності включають:
Моніторинг змін у спільних ресурсах NETLOGON
Виявлення спроб вилучення облікових даних або підвищення привілеїв
Відстеження незвичайного використання власних інструментів, таких як fsutil, robocopy та diskpart
Стратегічний аналіз: докази попереднього компрометування
Наявність функціональності, адаптованої до застарілих середовищ Windows, свідчить про попередню розвідку та довгостроковий доступ. Зловмисники, ймовірно, мали детальні знання про цільову інфраструктуру та могли скомпрометувати доменні середовища задовго до початку деструктивної фази.
