Lotus वाइपर

साइबर सुरक्षा विश्लेषकों ने एक ऐसे मैलवेयर की पहचान की है, जिसके बारे में पहले कोई जानकारी नहीं थी और जो डेटा को मिटा देता है। इसे अब लोटस वाइपर के नाम से जाना जाता है और इसे 2025 के अंत और 2026 की शुरुआत के बीच वेनेजुएला के ऊर्जा और उपयोगिता क्षेत्र के खिलाफ लक्षित हमलों में तैनात किया गया था। यह मैलवेयर अधिकतम विनाश के लिए डिज़ाइन किया गया है, जिससे संक्रमित सिस्टम पूरी तरह से निष्क्रिय हो जाते हैं।

समन्वित आक्रमण निष्पादन: बहु-स्तरीय तैनाती

यह हमला दो बैच स्क्रिप्ट पर आधारित है जो एक सुनियोजित ऑपरेशन को अंजाम देती हैं। ये स्क्रिप्ट नेटवर्क पर गतिविधियों को सिंक्रनाइज़ करती हैं, सिस्टम की सुरक्षा को कमजोर करती हैं और अंतिम पेलोड शुरू करने से पहले सामान्य संचालन को बाधित करती हैं। इनकी भूमिका में वाइपर कंपोनेंट को प्राप्त करना, उसे डीओबफस्केट करना और निष्पादित करना शामिल है, जिससे विनाशकारी चरण में निर्बाध संक्रमण सुनिश्चित होता है।

व्यवस्थित विनाश: लोटस वाइपर कैसे काम करता है

एक बार सक्रिय होने पर, लोटस वाइपर एक व्यापक डेटा विलोपन प्रक्रिया को अंजाम देता है जो सिस्टम की कार्यक्षमता और पुनर्प्राप्ति विकल्पों दोनों को समाप्त कर देती है। इसकी विनाशकारी क्षमताओं में शामिल हैं:

• पुनर्स्थापना बिंदुओं सहित पुनर्प्राप्ति तंत्रों को हटाना
• शून्य डेटा के साथ फिजिकल ड्राइव सेक्टरों को ओवरराइट करना
• सभी माउंटेड वॉल्यूम से फ़ाइलों को हटाना
• वॉल्यूम पत्रिकाओं में अपडेट अनुक्रम संख्या (यूएसएन) का निवारण

ये सभी कार्रवाइयां मिलकर यह सुनिश्चित करती हैं कि प्रभावित प्रणालियों को पारंपरिक तरीकों से बहाल या पुनर्निर्मित नहीं किया जा सकता है।

इरादे के संकेतक: वित्तीय रूप से प्रेरित नहीं

रैंसमवेयर के विपरीत, लोटस वाइपर में कोई जबरन वसूली संदेश या भुगतान निर्देश नहीं हैं। इस कमी से स्पष्ट संकेत मिलता है कि यह अभियान वित्तीय उद्देश्यों से प्रेरित नहीं है, बल्कि तोड़फोड़ या भू-राजनीतिक उद्देश्यों से प्रेरित है। गौरतलब है कि मैलवेयर का नमूना दिसंबर 2025 के मध्य में वेनेजुएला के एक सिस्टम से सार्वजनिक रूप से अपलोड किया गया था, जो जनवरी 2026 में अमेरिकी सैन्य गतिविधि से कुछ ही समय पहले था। हालांकि कोई सीधा संबंध पुष्ट नहीं हुआ है, लेकिन यह समय उसी क्षेत्र को लक्षित करने वाली साइबर गतिविधियों की बढ़ती रिपोर्टों से मेल खाता है, जो एक अत्यधिक लक्षित अभियान का संकेत देता है।

पुराने सिस्टमों को निशाना बनाना: अप्रचलित वातावरणों का फायदा उठाना

हमले की शुरुआत एक बैच स्क्रिप्ट से होती है जो कई चरणों वाली प्रक्रिया को शुरू करती है। इसके शुरुआती कार्यों में से एक है विंडोज इंटरएक्टिव सर्विसेज डिटेक्शन (UI0Detect) सेवा को निष्क्रिय करने का प्रयास करना। विंडोज 10 संस्करण 1803 के बाद के आधुनिक विंडोज संस्करणों में इस सेवा को हटा दिया गया है, जो दर्शाता है कि मैलवेयर विशेष रूप से पुराने ऑपरेटिंग सिस्टम को निशाना बनाने के लिए डिज़ाइन किया गया है।

यह स्क्रिप्ट NETLOGON शेयर की उपलब्धता की जाँच करती है और एक रिमोट XML फ़ाइल प्राप्त करती है। यह इस फ़ाइल की तुलना C:\lotus या %SystemDrive%\lotus जैसी डायरेक्टरी में स्थानीय रूप से संग्रहीत फ़ाइल से करती है। इस प्रक्रिया से संभवतः यह निर्धारित होता है कि सिस्टम किसी Active Directory डोमेन का हिस्सा है या नहीं। यदि रिमोट फ़ाइल उपलब्ध नहीं है, तो स्क्रिप्ट समाप्त हो जाती है; अन्यथा, कनेक्टिविटी को पुनः प्रयास करने के लिए 20 मिनट तक का संभावित यादृच्छिक विलंब करने के बाद यह आगे बढ़ती है।

पर्यावरण की तैयारी: प्रणालियों को निष्क्रिय करना और बाधित करना

दूसरी बैच स्क्रिप्ट, प्रभावित सिस्टम को व्यवस्थित रूप से कमजोर करके उसे नष्ट करने की तैयारी करती है। इसके कार्यों में शामिल हैं:

• स्थानीय उपयोगकर्ता खातों की गणना करना और कैश किए गए क्रेडेंशियल्स को निष्क्रिय करना
• सक्रिय उपयोगकर्ता सत्रों से लॉग ऑफ करना
• नेटवर्क इंटरफेस को अक्षम करना
• लॉजिकल ड्राइव को मिटाने के लिए diskpart clean all कमांड को निष्पादित करना

इसके अलावा, यह फाइलों को ओवरराइट या डिलीट करने के लिए रोबोकॉपी जैसी नेटिव विंडोज यूटिलिटीज और उपलब्ध सभी डिस्क स्पेस को खत्म करने वाली बड़ी फाइलें बनाने के लिए एफएसयूटिल का उपयोग करता है, जिससे रिकवरी के प्रयास प्रभावी रूप से विफल हो जाते हैं।

अंतिम पेलोड निष्पादन: अपरिवर्तनीय क्षति

तैयारी पूरी होने के बाद, लोटस वाइपर पेलोड को तैनात किया जाता है। यह पुनर्स्थापना बिंदुओं को हटाकर, भौतिक क्षेत्रों को ओवरराइट करके, जर्नल रिकॉर्ड को साफ़ करके और माउंटेड वॉल्यूम पर मौजूद सभी सिस्टम फ़ाइलों को हटाकर विनाश प्रक्रिया को पूरा करता है। इस चरण में, बाहरी बैकअप के बिना रिकवरी लगभग असंभव हो जाती है।

रक्षात्मक अनुशंसाएँ: निगरानी और जोखिम कम करना

संगठनों, विशेषकर महत्वपूर्ण अवसंरचना क्षेत्रों में कार्यरत संगठनों को सक्रिय निगरानी और पहचान रणनीतियों को अपनाना चाहिए। मुख्य फोकस क्षेत्र निम्नलिखित हैं:

NETLOGON शेयरों में होने वाले परिवर्तनों की निगरानी करना
क्रेडेंशियल डंपिंग या विशेषाधिकार वृद्धि के प्रयासों का पता लगाना
fsutil, robocopy और diskpart जैसे नेटिव टूल्स के असामान्य उपयोग पर नज़र रखना

रणनीतिक अंतर्दृष्टि: पूर्व समझौते के साक्ष्य

पुराने विंडोज़ वातावरण के अनुरूप तैयार की गई कार्यक्षमता की उपस्थिति पूर्व-जांच और दीर्घकालिक पहुंच का संकेत देती है। हमलावरों को लक्षित बुनियादी ढांचे की विस्तृत जानकारी होने की संभावना है और उन्होंने विनाशकारी चरण शुरू करने से काफी पहले ही डोमेन वातावरण को भेद डाला होगा।