Lotus vindusvisker

Nettsikkerhetsanalytikere har identifisert en tidligere udokumentert skadelig programvare for datasletting, nå kjent som Lotus Wiper, som ble brukt i målrettede angrep mot Venezuelas energi- og forsyningssektor mellom slutten av 2025 og begynnelsen av 2026. Denne skadelige programvaren er designet for maksimal ødeleggelse, og gjør infiserte systemer fullstendig ubrukelige.

Koordinert angrepsutførelse: Flertrinnsdistribusjon

Angrepet er avhengig av to batchskript som orkestrerer en nøye planlagt operasjon. Disse skriptene synkroniserer aktiviteter på tvers av nettverket, svekker systemforsvaret og forstyrrer normal drift før den endelige nyttelasten starter. Deres rolle inkluderer å hente, deobfuskere og kjøre wiper-komponenten, noe som sikrer en sømløs overgang til den destruktive fasen.

Systematisk ødeleggelse: Hvordan Lotus Wiper fungerer

Når den er aktivert, utfører Lotus Wiper en omfattende dataslettingsprosess som eliminerer både systemfunksjonalitet og gjenopprettingsalternativer. Dens destruktive egenskaper inkluderer:

• Fjerning av gjenopprettingsmekanismer, inkludert gjenopprettingspunkter
• Overskriving av fysiske stasjonssektorer med nullstillede data
• Sletting av filer på tvers av alle monterte volumer
• Fjerning av oppdateringssekvensnumre (USN) i volumjournaler

Disse tiltakene sikrer samlet at berørte systemer ikke kan gjenopprettes eller gjenoppbygges med konvensjonelle metoder.

Indikatorer for intensjon: Ikke økonomisk motivert

I motsetning til ransomware inneholder Lotus Wiper ingen utpressingsmeldinger eller betalingsinstruksjoner. Dette fraværet tyder sterkt på at kampanjen ikke er drevet av økonomiske mål, men snarere av sabotasje eller geopolitiske motiver. Det er verdt å merke seg at malware-eksemplet ble lastet opp offentlig i midten av desember 2025 fra et venezuelansk system, kort tid før amerikansk militæraktivitet i januar 2026. Selv om ingen direkte kobling er bekreftet, sammenfaller tidspunktet med økte rapporter om cyberaktivitet rettet mot samme sektor, noe som indikerer en svært fokusert operasjon.

Målretting mot eldre systemer: Utnyttelse av utdaterte miljøer

Angrepskjeden starter med et batchskript som starter en flertrinnsprosess. En av de tidlige handlingene er å forsøke å deaktivere tjenesten Windows Interactive Services Detection (UI0Detect). Denne tjenesten, som ble fjernet i moderne Windows-versjoner etter Windows 10 versjon 1803, indikerer at skadevaren er spesielt utviklet for å målrette eldre operativsystemer.

Skriptet sjekker også om det finnes en NETLOGON-deling og henter en ekstern XML-fil. Den sammenligner denne filen med en lokalt lagret versjon i kataloger som C:\lotus eller %SystemDrive%\lotus. Denne virkemåten avgjør sannsynligvis om systemet er en del av et Active Directory-domene. Hvis den eksterne filen ikke er tilgjengelig, avsluttes skriptet. Ellers fortsetter det etter potensielt å ha introdusert en tilfeldig forsinkelse på opptil 20 minutter for å prøve tilkobling på nytt.

Miljøforberedelse: Deaktivering og avbrudd av systemer

Det andre batchskriptet forbereder det kompromitterte systemet for ødeleggelse ved systematisk å svekke dets driftstilstand. Handlingene inkluderer:

• Liste opp lokale brukerkontoer og deaktivere hurtigbufret legitimasjon
• Logge av aktive brukerøkter
• Deaktivering av nettverksgrensesnitt
• Utfører kommandoen diskpart clean all for å slette logiske stasjoner

I tillegg bruker den innebygde Windows-verktøy som robocopy for å overskrive eller slette filer og fsutil for å lage store filer som bruker opp all tilgjengelig diskplass, noe som effektivt forhindrer gjenopprettingsarbeid.

Endelig utførelse av nyttelast: Irreversibel skade

Etter klargjøring distribueres Lotus Wiper-nyttelasten. Den fullfører destruksjonsprosessen ved å slette gjenopprettingspunkter, overskrive fysiske sektorer, tømme journalposter og fjerne alle systemfiler på tvers av monterte volumer. På dette stadiet blir gjenoppretting praktisk talt umulig uten eksterne sikkerhetskopier.

Defensive anbefalinger: Overvåking og avbøtende tiltak

Organisasjoner, spesielt de som jobber i kritiske infrastruktursektorer, bør ta i bruk proaktive overvåkings- og deteksjonsstrategier. Viktige fokusområder inkluderer:

Overvåking av endringer i NETLOGON-delinger
Oppdage forsøk på legitimasjonsdumping eller eskalering av privilegier
Sporing av uvanlig bruk av innebygde verktøy som fsutil, robocopy og diskpart

Strategisk innsikt: Bevis på tidligere kompromiss

Tilstedeværelsen av funksjonalitet skreddersydd for utdaterte Windows-miljøer tyder på tidligere rekognosering og langvarig tilgang. Angriperne hadde sannsynligvis detaljert kunnskap om den målrettede infrastrukturen og kan ha kompromittert domenemiljøer lenge før de startet den destruktive fasen.