Slevová nabídka pro více licencí
Databáze hrozeb Malware Stěrač Lotus

Stěrač Lotus

V roce Mezo v roce Malware
Přeložit do:

Analytici kybernetické bezpečnosti identifikovali dříve nezdokumentovaný malware pro mazání dat, nyní známý jako Lotus Wiper, který byl nasazen při cílených útocích na venezuelský energetický a veřejný sektor mezi koncem roku 2025 a začátkem roku 2026. Tento malware je navržen pro maximální destrukci a zcela znefunkční infikované systémy.

Koordinované provedení útoku: Vícestupňové nasazení

Útok se spoléhá na dva dávkové skripty, které řídí pečlivě připravenou operaci. Tyto skripty synchronizují aktivity v síti, oslabují obranu systému a narušují normální provoz před spuštěním finální datové části. Jejich role zahrnuje načtení, deobfuskaci a spuštění komponenty wiper, čímž zajišťují plynulý přechod do destruktivní fáze.

Systematické ničení: Jak funguje stěrač Lotus

Po aktivaci provede Lotus Wiper komplexní proces eradikace dat, který eliminuje jak funkčnost systému, tak i možnosti obnovy. Mezi jeho destruktivní schopnosti patří:

  • Odstranění mechanismů obnovy, včetně bodů obnovení
  • Přepsání sektorů fyzického disku s vynulovanými daty
  • Smazání souborů na všech připojených svazcích
  • Vymazání pořadových čísel aktualizací (USN) v denících svazků

Tato opatření společně zajišťují, že postižené systémy nelze obnovit ani přestavět konvenčními prostředky.

Ukazatele záměru: Není finančně motivovaný

Na rozdíl od ransomwaru Lotus Wiper neobsahuje žádné vyděračské zprávy ani platební pokyny. Tato absence silně naznačuje, že kampaň není motivována finančními cíli, ale spíše sabotáží nebo geopolitickými motivy. Je pozoruhodné, že vzorek malwaru byl veřejně nahrán v polovině prosince 2025 z venezuelského systému, krátce před aktivitou americké armády v lednu 2026. Ačkoli nebyla potvrzena žádná přímá souvislost, načasování se shoduje se zvýšeným počtem zpráv o kybernetické aktivitě zaměřené na stejný sektor, což naznačuje vysoce cílenou operaci.

Zaměření na starší systémy: Využívání zastaralých prostředí

Řetězec útoku začíná dávkovým skriptem, který spouští vícestupňový proces. Jednou z jeho prvních akcí je pokus o deaktivaci služby Windows Interactive Services Detection (UI0Detect). Tato služba, která byla v moderních verzích Windows po verzi Windows 10 1803 odstraněna, naznačuje, že malware je speciálně navržen tak, aby cílil na starší operační systémy.

Skript také kontroluje přítomnost sdílené složky NETLOGON a načítá vzdálený soubor XML. Porovnává tento soubor s lokálně uloženou verzí v adresářích, jako je C:\lotus nebo %SystemDrive%\lotus. Toto chování pravděpodobně určuje, zda je systém součástí domény Active Directory. Pokud vzdálený soubor není k dispozici, skript se ukončí; v opačném případě pokračuje po potenciálně zavedení náhodného zpoždění až 20 minut pro opětovný pokus o připojení.

Příprava prostředí: Vyřazení a narušení systémů

Druhý dávkový skript připravuje kompromitovaný systém ke zničení systematickým oslabováním jeho provozního stavu. Mezi jeho akce patří:

  • Výčet lokálních uživatelských účtů a zakázání přihlašovacích údajů uložených v mezipaměti
  • Odhlášení aktivních uživatelských relací
  • Zakázání síťových rozhraní
  • Spuštění příkazu diskpart clean all pro vymazání logických disků

Kromě toho využívá nativní nástroje systému Windows, jako je robocopy, k přepisování nebo mazání souborů a fsutil k vytváření velkých souborů, které spotřebovávají veškeré dostupné místo na disku, čímž efektivně brání snahám o obnovu.

Konečné provedení užitečného zatížení: Nevratné poškození

Po přípravě je nasazen datový balíček Lotus Wiper. Ten dokončí proces zničení odstraněním bodů obnovení, přepsáním fyzických sektorů, vymazáním záznamů žurnálu a odstraněním všech systémových souborů napříč připojenými svazky. V této fázi je obnova bez externích záloh prakticky nemožná.

Obranná doporučení: Monitorování a zmírňování

Organizace, zejména ty v sektorech kritické infrastruktury, by měly přijmout proaktivní strategie monitorování a detekce. Mezi klíčové oblasti zaměření patří:

Monitorování změn ve sdílených složkách NETLOGON
Detekce pokusů o vymazání přihlašovacích údajů nebo eskalaci oprávnění
Sledování neobvyklého používání nativních nástrojů, jako jsou fsutil, robocopy a diskpart

Strategický vhled: Důkaz o předchozím kompromisu

Přítomnost funkcí přizpůsobených zastaralým prostředím Windows naznačuje předchozí průzkum a dlouhodobý přístup. Útočníci pravděpodobně měli detailní znalosti o cílové infrastruktuře a mohli napadnout doménová prostředí dlouho před spuštěním destruktivní fáze.

Trendy

Potvrzení nové aktualizace zabezpečení ochrany...

Phishing, Spam
S neočekávanými e-maily, které vyžadují naléhavou akci, by se mělo vždy zacházet opatrně. Kyberzločinci často maskují škodlivé zprávy jako legitimní oznámení, aby zneužili důvěry a vyvolali paniku. Je důležité si uvědomit, že podvodné e-maily, jako jsou e-maily s požadavkem „Potvrdit novou aktualizaci zabezpečení ochrany osobních údajů“, nejsou spojeny s žádnými legitimními společnostmi,...

Nejvíce shlédnuto

Načítání...