Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Stierač Lotus

Stierač Lotus

Do roku Mezo v roku Malvér
Preložiť do:

Analytici kybernetickej bezpečnosti identifikovali doteraz nezdokumentovaný malvér na vymazávanie údajov, teraz známy ako Lotus Wiper, ktorý bol nasadený pri cielených útokoch na energetický a verejný sektor Venezuely medzi koncom roka 2025 a začiatkom roka 2026. Tento malvér je navrhnutý tak, aby dosiahol maximálnu deštrukciu a úplne znefunkčnil infikované systémy.

Koordinované vykonanie útoku: Viacstupňové nasadenie

Útok sa spolieha na dva dávkové skripty, ktoré riadia starostlivo pripravenú operáciu. Tieto skripty synchronizujú aktivity v sieti, oslabujú obranu systému a narúšajú bežnú prevádzku pred spustením finálneho užitočného zaťaženia. Ich úlohou je načítanie, deobfuskacia a spustenie komponentu wiper, čím sa zabezpečí plynulý prechod do deštruktívnej fázy.

Systematické ničenie: Ako funguje stierač Lotus

Po aktivácii Lotus Wiper vykoná komplexný proces eradikácie dát, ktorý eliminuje funkčnosť systému aj možnosti obnovy. Medzi jeho deštruktívne schopnosti patria:

  • Odstránenie mechanizmov obnovy vrátane bodov obnovenia
  • Prepísanie sektorov fyzického disku s vynulovanými údajmi
  • Odstránenie súborov na všetkých pripojených zväzkoch
  • Vymazanie čísel sekvencie aktualizácií (USN) v denníkoch zväzkov

Tieto opatrenia spoločne zabezpečujú, že postihnuté systémy nemožno obnoviť alebo prestavať konvenčnými prostriedkami.

Ukazovatele zámeru: Nie je finančne motivovaný

Na rozdiel od ransomvéru Lotus Wiper neobsahuje žiadne vydieračské správy ani platobné pokyny. Táto absencia silne naznačuje, že kampaň nie je motivovaná finančnými cieľmi, ale skôr sabotážou alebo geopolitickými motívmi. Je pozoruhodné, že vzorka malvéru bola verejne nahraná v polovici decembra 2025 z venezuelského systému, krátko pred aktivitou americkej armády v januári 2026. Hoci nebola potvrdená žiadna priama súvislosť, načasovanie sa zhoduje so zvýšeným počtom hlásení o kybernetickej aktivite zameranej na ten istý sektor, čo naznačuje vysoko cielenú operáciu.

Zameranie sa na staršie systémy: Využívanie zastaraných prostredí

Reťazec útoku začína dávkovým skriptom, ktorý spúšťa viacstupňový proces. Jednou z jeho prvých akcií je pokus o deaktiváciu služby Windows Interactive Services Detection (UI0Detect). Táto služba, ktorá bola odstránená v moderných verziách systému Windows po verzii Windows 10 1803, naznačuje, že malvér je špeciálne navrhnutý tak, aby zacielil na staršie operačné systémy.

Skript tiež kontroluje prítomnosť zdieľaného priečinka NETLOGON a načíta vzdialený súbor XML. Porovnáva tento súbor s lokálne uloženou verziou v adresároch, ako napríklad C:\lotus alebo %SystemDrive%\lotus. Toto správanie pravdepodobne určuje, či je systém súčasťou domény Active Directory. Ak vzdialený súbor nie je k dispozícii, skript sa ukončí; v opačnom prípade pokračuje po potenciálnom zavedení náhodného oneskorenia až 20 minút na opätovné pripojenie.

Príprava prostredia: Vyraďovanie a narúšanie systémov

Druhý dávkový skript pripravuje napadnutý systém na zničenie systematickým oslabovaním jeho funkčného stavu. Jeho akcie zahŕňajú:

  • Vymenovanie lokálnych používateľských účtov a zakázanie uložených prihlasovacích údajov v vyrovnávacej pamäti
  • Odhlásenie aktívnych používateľských relácií
  • Zakázanie sieťových rozhraní
  • Vykonanie príkazu diskpart clean all na vymazanie logických diskov

Okrem toho využíva natívne nástroje systému Windows, ako napríklad robocopy, na prepisovanie alebo mazanie súborov a fsutil na vytváranie veľkých súborov, ktoré spotrebúvajú všetok dostupný priestor na disku, čím účinne bránia snahám o obnovu.

Konečné vykonanie užitočného zaťaženia: Nezvratné poškodenie

Po príprave sa nasadí dátový balík Lotus Wiper. Ten dokončí proces zničenia odstránením bodov obnovenia, prepísaním fyzických sektorov, vymazaním záznamov denníka a odstránením všetkých systémových súborov na pripojených zväzkoch. V tejto fáze je obnova prakticky nemožná bez externých záloh.

Obranné odporúčania: Monitorovanie a zmierňovanie

Organizácie, najmä tie, ktoré pôsobia v sektoroch kritickej infraštruktúry, by mali prijať proaktívne stratégie monitorovania a detekcie. Medzi kľúčové oblasti zamerania patria:

Monitorovanie zmien v zdieľaných priečinkoch NETLOGON
Detekcia pokusov o stratu poverení alebo eskaláciu privilégií
Sledovanie nezvyčajného používania natívnych nástrojov, ako sú fsutil, robocopy a diskpart

Strategický pohľad: Dôkaz predchádzajúceho kompromisu

Prítomnosť funkcií prispôsobených zastaraným prostrediam Windowsu naznačuje predchádzajúci prieskum a dlhodobý prístup. Útočníci pravdepodobne mali podrobné znalosti o cieľovej infraštruktúre a mohli napadnúť prostredia domény dávno pred spustením deštruktívnej fázy.

Trendy

Potvrdenie novej aktualizácie zabezpečenia ochrany...

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú urgentný zásah, by sa mali vždy brať opatrne. Kyberzločinci často maskujú škodlivé správy ako legitímne oznámenia, aby zneužili dôveru a vyvolali paniku. Je dôležité si uvedomiť, že podvody, ako napríklad e-maily s požiadavkou „Potvrdiť novú aktualizáciu zabezpečenia súkromia“, nie sú spojené so žiadnymi legitímnymi spoločnosťami, organizáciami ani subjektmi,...

Najviac videné

Načítava...