Pengelap Lotus

Penganalisis keselamatan siber telah mengenal pasti perisian hasad penghapusan data yang sebelum ini tidak didokumenkan, kini dikenali sebagai Lotus Wiper, yang digunakan dalam serangan yang disasarkan terhadap sektor tenaga dan utiliti Venezuela antara akhir 2025 dan awal 2026. Perisian hasad ini direka bentuk untuk kemusnahan maksimum, menjadikan sistem yang dijangkiti tidak dapat beroperasi sepenuhnya.

Pelaksanaan Serangan Terselaras: Pelaksanaan Berbilang Peringkat

Serangan ini bergantung pada dua skrip kelompok yang mengatur operasi berperingkat yang teliti. Skrip ini menyegerakkan aktiviti merentasi rangkaian, melemahkan pertahanan sistem dan mengganggu operasi biasa sebelum memulakan muatan akhir. Peranan mereka termasuk mendapatkan semula, menyahkelirukan dan melaksanakan komponen pengelap, memastikan peralihan yang lancar ke fasa pemusnah.

Pemusnahan Sistematik: Bagaimana Pengelap Lotus Beroperasi

Setelah diaktifkan, Lotus Wiper melaksanakan proses pembasmian data yang komprehensif yang menghapuskan kedua-dua fungsi sistem dan pilihan pemulihan. Keupayaan pemusnahnya termasuk:

• Penyingkiran mekanisme pemulihan, termasuk titik pemulihan
• Menulis ganti sektor pemacu fizikal dengan data sifar
• Pemadaman fail merentasi semua jilid yang dipasang
• Penghapusan Nombor Jujukan Kemas Kini (USN) dalam jurnal jilid

Tindakan ini secara kolektif memastikan bahawa sistem yang terjejas tidak dapat dipulihkan atau dibina semula melalui cara konvensional.

Petunjuk Niat: Tidak Bermotivasi Dari Segi Kewangan

Tidak seperti ransomware, Lotus Wiper tidak mengandungi mesej pemerasan atau arahan pembayaran. Ketiadaan ini menunjukkan bahawa kempen ini tidak didorong oleh objektif kewangan tetapi sebaliknya oleh sabotaj atau motif geopolitik. Terutamanya, sampel perisian hasad telah dimuat naik secara terbuka pada pertengahan Disember 2025 dari sistem Venezuela, sejurus sebelum aktiviti ketenteraan AS pada Januari 2026. Walaupun tiada kaitan langsung telah disahkan, masanya bertepatan dengan peningkatan laporan aktiviti siber yang menyasarkan sektor yang sama, menunjukkan operasi yang sangat tertumpu.

Menyasarkan Sistem Legasi: Mengeksploitasi Persekitaran Lapuk

Rantaian serangan bermula dengan skrip kelompok yang memulakan proses berbilang peringkat. Salah satu tindakan awalnya ialah cuba melumpuhkan perkhidmatan Pengesanan Perkhidmatan Interaktif Windows (UI0Detect). Perkhidmatan ini, yang dialih keluar dalam versi Windows moden selepas Windows 10 versi 1803, menunjukkan bahawa perisian hasad direka khusus untuk menyasarkan sistem pengendalian yang lebih lama.

Skrip ini juga menyemak kehadiran perkongsian NETLOGON dan mengambil fail XML jauh. Ia membandingkan fail ini dengan versi yang disimpan secara setempat dalam direktori seperti C:\lotus atau %SystemDrive%\lotus. Tingkah laku ini mungkin menentukan sama ada sistem tersebut adalah sebahagian daripada domain Active Directory. Jika fail jauh tidak tersedia, skrip akan tamat; jika tidak, ia akan diteruskan selepas berkemungkinan memperkenalkan kelewatan rawak sehingga 20 minit untuk mencuba semula sambungan.

Persediaan Persekitaran: Melumpuhkan dan Mengganggu Sistem

Skrip kelompok kedua menyediakan sistem yang terjejas untuk kemusnahan dengan melemahkan keadaan operasinya secara sistematik. Tindakannya termasuk:

• Menyenaraikan akaun pengguna setempat dan melumpuhkan kelayakan yang disimpan dalam cache
• Log keluar dari sesi pengguna aktif
• Melumpuhkan antara muka rangkaian
• Melaksanakan arahan diskpart clean all untuk memadam pemacu logik

Di samping itu, ia memanfaatkan utiliti Windows asli seperti robocopy untuk menulis ganti atau memadam fail dan fsutil untuk mencipta fail besar yang menggunakan semua ruang cakera yang ada, sekali gus menghalang usaha pemulihan dengan berkesan.

Pelaksanaan Muatan Akhir: Kerosakan Tidak Boleh Dipulihkan

Selepas persediaan, muatan Lotus Wiper akan digunakan. Ia melengkapkan proses pemusnahan dengan memadam titik pemulihan, menulis ganti sektor fizikal, membersihkan rekod jurnal dan mengalih keluar semua fail sistem merentasi jilid yang dipasang. Pada peringkat ini, pemulihan menjadi hampir mustahil tanpa sandaran luaran.

Cadangan Pertahanan: Pemantauan dan Mitigasi

Organisasi, terutamanya yang berada dalam sektor infrastruktur kritikal, harus menerima pakai strategi pemantauan dan pengesanan proaktif. Bidang tumpuan utama termasuk:

Memantau perubahan dalam saham NETLOGON
Mengesan lambakan kelayakan atau percubaan peningkatan keistimewaan
Menjejaki penggunaan alat asli yang luar biasa seperti fsutil, robocopy dan diskpart

Wawasan Strategik: Bukti Kompromi Terdahulu

Kehadiran fungsi yang disesuaikan untuk persekitaran Windows yang ketinggalan zaman menunjukkan peninjauan terdahulu dan akses jangka panjang. Penyerang mungkin mempunyai pengetahuan terperinci tentang infrastruktur yang disasarkan dan mungkin telah menjejaskan persekitaran domain jauh sebelum melancarkan fasa pemusnahan.