Rabattilbud med flere licenser
Trusseldatabase Malware Lotus-visker

Lotus-visker

Med Mezo i Malware
Oversæt til:

Cybersikkerhedsanalytikere har identificeret en tidligere udokumenteret datasledende malware, nu kendt som Lotus Wiper, der blev anvendt i målrettede angreb mod Venezuelas energi- og forsyningssektor mellem slutningen af 2025 og begyndelsen af 2026. Denne malware er designet til maksimal ødelæggelse og gør inficerede systemer fuldstændig ubrugelige.

Koordineret angrebsudførelse: Flertrinsimplementering

Angrebet er baseret på to batch-scripts, der orkestrerer en omhyggeligt planlagt operation. Disse scripts synkroniserer aktiviteter på tværs af netværket, svækker systemforsvaret og forstyrrer normale operationer, før den endelige nyttelast startes. Deres rolle omfatter at hente, deobfuscere og udføre wiper-komponenten, hvilket sikrer en problemfri overgang til den destruktive fase.

Systematisk ødelæggelse: Sådan fungerer Lotus Wiper

Når Lotus Wiper er aktiveret, udfører den en omfattende datasletningsproces, der eliminerer både systemfunktionalitet og gendannelsesmuligheder. Dens destruktive egenskaber omfatter:

  • Fjernelse af gendannelsesmekanismer, herunder gendannelsespunkter
  • Overskrivning af fysiske drevsektorer med nulstillede data
  • Sletning af filer på tværs af alle monterede volumener
  • Rydning af opdateringssekvensnumre (USN) i volumenjournaler

Disse handlinger sikrer tilsammen, at berørte systemer ikke kan gendannes eller genopbygges med konventionelle metoder.

Indikatorer for hensigt: Ikke økonomisk motiveret

I modsætning til ransomware indeholder Lotus Wiper ingen afpresningsbeskeder eller betalingsinstruktioner. Denne mangel tyder stærkt på, at kampagnen ikke er drevet af økonomiske mål, men snarere af sabotage eller geopolitiske motiver. Det er værd at bemærke, at malware-eksemplet blev uploadet offentligt i midten af december 2025 fra et venezuelansk system, kort før amerikansk militæraktivitet i januar 2026. Selvom ingen direkte forbindelse er blevet bekræftet, falder timingen sammen med øgede rapporter om cyberaktivitet rettet mod den samme sektor, hvilket indikerer en meget fokuseret operation.

Målretning mod ældre systemer: Udnyttelse af forældede miljøer

Angrebskæden begynder med et batchscript, der starter en proces i flere trin. En af dens tidlige handlinger er at forsøge at deaktivere tjenesten Windows Interactive Services Detection (UI0Detect). Denne tjeneste, der blev fjernet i moderne Windows-versioner efter Windows 10 version 1803, indikerer, at malwaren er specifikt designet til at målrette ældre operativsystemer.

Scriptet kontrollerer også tilstedeværelsen af en NETLOGON-deling og henter en ekstern XML-fil. Det sammenligner denne fil med en lokalt gemt version i mapper som C:\lotus eller %SystemDrive%\lotus. Denne funktionsmåde bestemmer sandsynligvis, om systemet er en del af et Active Directory-domæne. Hvis den eksterne fil ikke er tilgængelig, afsluttes scriptet; ellers fortsætter det efter potentielt at have introduceret en randomiseret forsinkelse på op til 20 minutter for at forsøge at oprette forbindelse igen.

Miljøforberedelse: Deaktivering og afbrydelse af systemer

Det andet batchscript forbereder det kompromitterede system til destruktion ved systematisk at svække dets driftstilstand. Dets handlinger omfatter:

  • Optælling af lokale brugerkonti og deaktivering af cachelagrede legitimationsoplysninger
  • Logge af aktive brugersessioner
  • Deaktivering af netværksgrænseflader
  • Udfører kommandoen diskpart clean all for at slette logiske drev

Derudover udnytter den native Windows-værktøjer som robocopy til at overskrive eller slette filer og fsutil til at oprette store filer, der bruger al tilgængelig diskplads, hvilket effektivt forhindrer gendannelsesindsatsen.

Endelig udførelse af nyttelast: Irreversibel skade

Efter forberedelsen implementeres Lotus Wiper-nyttelasten. Den fuldfører destruktionsprocessen ved at slette gendannelsespunkter, overskrive fysiske sektorer, rydde journalposter og fjerne alle systemfiler på tværs af monterede volumener. På dette tidspunkt bliver gendannelse praktisk talt umulig uden eksterne sikkerhedskopier.

Defensive anbefalinger: Overvågning og afbødning

Organisationer, især dem i kritiske infrastruktursektorer, bør anvende proaktive overvågnings- og detektionsstrategier. Nøglefokusområder omfatter:

Overvågning af ændringer i NETLOGON-delinger
Registrering af dumping af legitimationsoplysninger eller forsøg på eskalering af rettigheder
Sporing af usædvanlig brug af native værktøjer som fsutil, robocopy og diskpart

Strategisk indsigt: Bevis på tidligere kompromis

Tilstedeværelsen af funktionalitet, der er skræddersyet til forældede Windows-miljøer, tyder på forudgående rekognoscering og langvarig adgang. Angribere havde sandsynligvis detaljeret kendskab til den målrettede infrastruktur og kan have kompromitteret domænemiljøer længe før de startede den destruktive fase.

Trending

Mest sete

Indlæser...