Ponuda s popustom na više licenci
Baza prijetnji Malware Lotus brisač

Lotus brisač

Do Mezo. Malware. godine
Prevedi na:

Analitičari kibernetičke sigurnosti identificirali su prethodno nedokumentirani zlonamjerni softver za brisanje podataka, sada poznat kao Lotus Wiper, koji je korišten u ciljanim napadima na energetski i komunalni sektor Venezuele između kraja 2025. i početka 2026. Ovaj zlonamjerni softver dizajniran je za maksimalno uništenje, čineći zaražene sustave potpuno neupotrebljivima.

Koordinirano izvršenje napada: Višefazno raspoređivanje

Napad se oslanja na dva skupna skripta koja orkestriraju pažljivo osmišljenu operaciju. Ovi skripti sinkroniziraju aktivnosti na mreži, slabe obranu sustava i ometaju normalan rad prije pokretanja konačnog korisnog tereta. Njihova uloga uključuje dohvaćanje, deobfuskaciju i izvršavanje komponente brisača, osiguravajući besprijekoran prijelaz u destruktivnu fazu.

Sustavno uništavanje: Kako radi Lotusov brisač

Nakon aktivacije, Lotus Wiper izvršava sveobuhvatan proces uklanjanja podataka koji eliminira i funkcionalnost sustava i mogućnosti oporavka. Njegove destruktivne mogućnosti uključuju:

  • Uklanjanje mehanizama za oporavak, uključujući točke vraćanja
  • Prepisivanje sektora fizičkog diska s poništenim podacima
  • Brisanje datoteka na svim montiranim volumenima
  • Brisanje ažuriranih slijednih brojeva (USN) u dnevnicima volumena

Ove akcije zajedno osiguravaju da se pogođeni sustavi ne mogu obnoviti ili ponovno izgraditi konvencionalnim sredstvima.

Pokazatelji namjere: Nije financijski motivirano

Za razliku od ransomwarea, Lotus Wiper ne sadrži poruke o iznudi ili upute za plaćanje. Ova odsutnost snažno sugerira da kampanja nije vođena financijskim ciljevima, već sabotažom ili geopolitičkim motivima. Važno je napomenuti da je uzorak zlonamjernog softvera javno prenesen sredinom prosinca 2025. iz venezuelanskog sustava, neposredno prije američke vojne aktivnosti u siječnju 2026. Iako nije potvrđena izravna veza, vrijeme se podudara s povećanim izvješćima o kibernetičkim aktivnostima usmjerenim na isti sektor, što ukazuje na visoko fokusiranu operaciju.

Ciljanje naslijeđenih sustava: Iskorištavanje zastarjelih okruženja

Lanac napada započinje batch skriptom koja pokreće višefazni proces. Jedna od njegovih ranih akcija je pokušaj onemogućavanja usluge Windows Interactive Services Detection (UI0Detect). Ova usluga, uklonjena u modernim verzijama sustava Windows nakon verzije 1803 sustava Windows 10, ukazuje na to da je zlonamjerni softver posebno dizajniran za ciljanje starijih operativnih sustava.

Skripta također provjerava prisutnost NETLOGON dijeljenja i dohvaća udaljenu XML datoteku. Uspoređuje ovu datoteku s lokalno pohranjenom verzijom u direktorijima kao što su C:\lotus ili %SystemDrive%\lotus. Ovo ponašanje vjerojatno određuje je li sustav dio domene Active Directory. Ako udaljena datoteka nije dostupna, skripta se prekida; inače nastavlja nakon potencijalnog uvođenja nasumičnog kašnjenja do 20 minuta za ponovni pokušaj povezivanja.

Priprema okoline: Onemogućavanje i ometanje sustava

Druga serija skripti priprema kompromitirani sustav za uništenje sustavnim slabljenjem njegovog operativnog stanja. Njegove akcije uključuju:

  • Nabrajanje lokalnih korisničkih računa i onemogućavanje predmemoriranih vjerodajnica
  • Odjava aktivnih korisničkih sesija
  • Onemogućavanje mrežnih sučelja
  • Izvršavanje naredbe diskpart clean all za brisanje logičkih diskova

Osim toga, koristi izvorne Windows uslužne programe poput robocopyja za prepisivanje ili brisanje datoteka i fsutil za stvaranje velikih datoteka koje troše sav raspoloživi prostor na disku, učinkovito sprječavajući pokušaje oporavka.

Konačno izvršenje korisnog tereta: Nepovratna šteta

Nakon pripreme, implementira se Lotus Wiper. Dovršava proces uništavanja brisanjem točaka vraćanja, prepisivanjem fizičkih sektora, brisanjem zapisa dnevnika i uklanjanjem svih sistemskih datoteka na montiranim volumenima. U ovoj fazi oporavak postaje praktički nemoguć bez vanjskih sigurnosnih kopija.

Obrambene preporuke: Praćenje i ublažavanje

Organizacije, posebno one u sektorima kritične infrastrukture, trebale bi usvojiti proaktivne strategije praćenja i otkrivanja. Ključna područja fokusa uključuju:

Praćenje promjena u NETLOGON dijeljenjima
Otkrivanje pokušaja gubitka vjerodajnica ili eskalacije privilegija
Praćenje neuobičajene upotrebe izvornih alata kao što su fsutil, robocopy i diskpart

Strateški uvid: Dokazi o prethodnom kompromisu

Prisutnost funkcionalnosti prilagođene zastarjelim Windows okruženjima sugerira prethodno izviđanje i dugoročni pristup. Napadači su vjerojatno imali detaljno znanje o ciljanoj infrastrukturi i možda su kompromitirali domenska okruženja mnogo prije pokretanja destruktivne faze.

U trendu

Potvrdite novu prevaru putem e-pošte s ažuriranjem...

Krađa identiteta, Spam
Neočekivane e-poruke koje zahtijevaju hitnu akciju uvijek treba tretirati s oprezom. Kibernetički kriminalci često prikrivaju zlonamjerne poruke kao legitimne obavijesti kako bi iskoristili povjerenje i izazvali paniku. Važno je prepoznati da prijevare poput e-poruka 'Potvrdite novo sigurnosno ažuriranje privatnosti' nisu povezane s legitimnim tvrtkama, organizacijama ili subjektima, bez obzira...

Nagledanije

Učitavam...