Lotus Wiper
אנליסטים של אבטחת סייבר זיהו נוזקה לא מתועדת, המכונה כיום Lotus Wiper, שנפרסה במתקפות ממוקדות נגד מגזר האנרגיה והתשתיות של ונצואלה בין סוף 2025 לתחילת 2026. נוזקה זו נועדה להשמדה מקסימלית, מה שהופך מערכות נגועות לבלתי ניתנות להפעלה לחלוטין.
תוכן העניינים
ביצוע מתואם של מתקפה: פריסה רב-שלבית
ההתקפה מסתמכת על שני סקריפטים של אצווה (batch) אשר מתזמרים פעולה מבוימת בקפידה. סקריפטים אלה מסנכרנים פעילויות ברחבי הרשת, מחלישים את הגנות המערכת ומשבשים את הפעילות הרגילה לפני הפעלת המטען הסופי. תפקידם כולל אחזור, הסרת ערפול וביצוע רכיב הוויברציה, מה שמבטיח מעבר חלק לשלב ההרסני.
הרס שיטתי: כיצד פועל מגב לוטוס
לאחר הפעלתו, Lotus Wiper מבצע תהליך מחיקת נתונים מקיף אשר מבטל הן את פונקציונליות המערכת והן את אפשרויות השחזור. יכולותיו ההרסניות כוללות:
- הסרת מנגנוני שחזור, כולל נקודות שחזור
- החלפת סקטורים בכונן פיזי עם נתונים מאופסים
- מחיקת קבצים בכל אמצעי האחסון המותקנים
- ניקוי מספרי רצף עדכונים (USN) ביומני נפח
פעולות אלו מבטיחות יחד כי לא ניתן יהיה לשקם או לבנות מחדש את המערכות שנפגעו באמצעים קונבנציונליים.
אינדיקטורים לכוונה: ללא מוטיבציה כלכלית
בניגוד לתוכנות כופר, Lotus Wiper אינו מכיל הודעות סחיטה או הוראות תשלום. היעדרות זו מרמזת מאוד שהקמפיין אינו מונע על ידי מטרות פיננסיות אלא על ידי חבלה או מניעים גיאופוליטיים. ראוי לציין כי דגימת הנוזקה הועלתה לציבור באמצע דצמבר 2025 ממערכת ונצואלית, זמן קצר לפני פעילות צבאית אמריקאית בינואר 2026. למרות שלא אושר קשר ישיר, העיתוי עולה בקנה אחד עם דיווחים מוגברים על פעילות סייבר המכוונת לאותו מגזר, דבר המצביע על פעולה ממוקדת מאוד.
מיקוד במערכות מדור קודם: ניצול סביבות מיושנות
שרשרת ההתקפה מתחילה בסקריפט אצווה שמתחיל תהליך רב-שלבי. אחת הפעולות המוקדמות שלו היא ניסיון להשבית את שירות זיהוי שירותי Windows Interactive Services (UI0Detect). שירות זה, שהוסר בגרסאות Windows מודרניות לאחר Windows 10 גרסה 1803, מצביע על כך שהתוכנה הזדונית תוכננה במיוחד כדי למקד מערכות הפעלה ישנות יותר.
הסקריפט בודק גם את נוכחותו של שיתוף NETLOGON ומאחזר קובץ XML מרוחק. הוא משווה קובץ זה לגרסה המאוחסנת באופן מקומי בספריות כגון C:\lotus או %SystemDrive%\lotus. התנהגות זו קובעת ככל הנראה האם המערכת היא חלק מתחום Active Directory. אם הקובץ המרוחק אינו זמין, הסקריפט מסתיים; אחרת, הוא ממשיך לאחר הכנסת השהייה אקראית של עד 20 דקות כדי לנסות שוב את הקישוריות.
הכנת סביבה: השבתה ושיבוש של מערכות
סקריפט האצווה השני מכין את המערכת הפגועה להרס על ידי החלשה שיטתית של מצבה המבצעי. פעולותיו כוללות:
- ספירת חשבונות משתמשים מקומיים והשבתת פרטי גישה המאוחסנים במטמון
- התנתקות מהפעלות משתמש פעילות
- השבתת ממשקי רשת
- ביצוע הפקודה diskpart clean all כדי למחוק כוננים לוגיים
בנוסף, הוא ממנף כלי עזר מקוריים של Windows כגון robocopy כדי לדרוס או למחוק קבצים ו-fsutil כדי ליצור קבצים גדולים שצורכים את כל שטח הדיסק הזמין, ובכך מונעים ביעילות מאמצי שחזור.
ביצוע מטען סופי: נזק בלתי הפיך
לאחר ההכנה, נפרס מטען Lotus Wiper. הוא משלים את תהליך ההרס על ידי מחיקת נקודות שחזור, החלפת סקטורים פיזיים, ניקוי רשומות יומן והסרת כל קבצי המערכת באמצעי אחסון מורכבים. בשלב זה, שחזור הופך כמעט בלתי אפשרי ללא גיבויים חיצוניים.
המלצות הגנתיות: ניטור והפחתת השפעות
ארגונים, ובמיוחד אלו המתגוררים במגזרי תשתית קריטיים, צריכים לאמץ אסטרטגיות ניטור וזיהוי פרואקטיביות. תחומי המיקוד העיקריים כוללים:
ניטור שינויים בשיתופי NETLOGON
זיהוי ניסיונות של הסלמת הרשאות או זיהוי דחיית אישורים
מעקב אחר שימוש חריג בכלים מקוריים כגון fsutil, robocopy ו-diskpart
תובנה אסטרטגית: עדות לפשרה קודמת
נוכחות פונקציונליות המותאמת לסביבות Windows מיושנות מצביעה על סיור מוקדם וגישה לטווח ארוך. סביר להניח שלתוקפים היה ידע מפורט על התשתית הממוקדת וייתכן שפרצו לסביבות דומיין הרבה לפני תחילת השלב ההרסני.
