Попуст за више лиценци
Тхреат Датабасе Малваре Лотус брисач

Лотус брисач

До Mezo. у Малваре
Преведи на:

Аналитичари сајбер безбедности идентификовали су раније недокументовани злонамерни софтвер за брисање података, сада познат као Lotus Wiper, који је коришћен у циљаним нападима на енергетски и комунални сектор Венецуеле између краја 2025. и почетка 2026. године. Овај злонамерни софтвер је дизајниран за максимално уништење, чинећи заражене системе потпуно неоперативним.

Координирано извршење напада: Вишестепено распоређивање

Напад се ослања на два пакетна скрипта која оркестрирају пажљиво испланирану операцију. Ови скриптови синхронизују активности широм мреже, слабе системску одбрану и ремете нормалан рад пре покретања коначног корисног оптерећења. Њихова улога укључује преузимање, деобфускацију и извршавање компоненте брисача, осигуравајући беспрекоран прелазак у деструктивну фазу.

Систематско уништавање: Како функционише Lotus Wiper

Једном активиран, Lotus Wiper извршава свеобухватан процес уништавања података који елиминише и функционалност система и опције опоравка. Његове деструктивне могућности укључују:

  • Уклањање механизама за опоравак, укључујући тачке враћања
  • Преписивање сектора физичког диска са нултим подацима
  • Брисање датотека на свим монтираним томовима
  • Брисање бројева реда ажурирања (USN) у дневницима запремине

Ове акције заједно осигуравају да се погођени системи не могу обновити или поново изградити конвенционалним средствима.

Индикатори намере: Није финансијски мотивисано

За разлику од ransomware-а, Lotus Wiper не садржи поруке за изнуду или упутства за плаћање. Ово одсуство снажно указује на то да кампања није вођена финансијским циљевима, већ саботажом или геополитичким мотивима. Приметно је да је узорак злонамерног софтвера јавно постављен средином децембра 2025. године са венецуеланског система, непосредно пре војне активности САД у јануару 2026. године. Иако није потврђена директна веза, време се поклапа са повећаним извештајима о сајбер активностима усмереним на исти сектор, што указује на веома фокусирану операцију.

Циљање застарелих система: Искоришћавање застарелих окружења

Ланац напада почиње пакетном скриптом која покреће вишестепени процес. Једна од његових раних акција је покушај онемогућавања услуге Windows Interactive Services Detection (UI0Detect). Ова услуга, уклоњена у модерним верзијама Windows-а након Windows 10 верзије 1803, указује на то да је злонамерни софтвер посебно дизајниран да циља старије оперативне системе.

Скрипта такође проверава присуство NETLOGON дељеног ресурса и преузима удаљену XML датотеку. Упоређује ову датотеку са локално сачуваном верзијом у директоријумима као што су C:\lotus или %SystemDrive%\lotus. Ово понашање вероватно одређује да ли је систем део домена Active Directory. Ако удаљена датотека није доступна, скрипта се прекида; у супротном, наставља након потенцијално увођења насумичног кашњења до 20 минута за поновни покушај повезивања.

Припрема окружења: Онемогућавање и ометање система

Друга серија скрипти припрема угрожени систем за уништење систематским слабљењем његовог оперативног стања. Њене акције укључују:

  • Набрајање локалних корисничких налога и онемогућавање кешираних акредитива
  • Одјављивање из активних корисничких сесија
  • Онемогућавање мрежних интерфејса
  • Извршавање команде diskpart clean all за брисање логичких дискова

Поред тога, користи изворне Windows услужне програме као што је robocopy за преписивање или брисање датотека и fsutil за креирање великих датотека које троше сав расположиви простор на диску, ефикасно спречавајући покушаје опоравка.

Коначно извршење корисног терета: Неповратна штета

Након припреме, распоређује се Lotus Wiper корисни терет. Он завршава процес уништавања брисањем тачака враћања, преписивањем физичких сектора, чишћењем записа дневника и уклањањем свих системских датотека на монтираним томовима. У овој фази, опоравак постаје практично немогућ без екстерних резервних копија.

Одбрамбене препоруке: Праћење и ублажавање

Организације, посебно оне у секторима критичне инфраструктуре, требало би да усвоје проактивне стратегије праћења и откривања. Кључне области фокуса укључују:

Праћење промена у NETLOGON дељењима
Откривање покушаја дампинга акредитива или ескалације привилегија
Праћење неуобичајене употребе изворних алата као што су fsutil, robocopy и diskpart

Стратешки увид: Доказ о претходном компромису

Присуство функционалности прилагођене застарелим Windows окружењима указује на претходно извиђање и дугорочни приступ. Нападачи су вероватно имали детаљно знање о циљаној инфраструктури и можда су угрозили доменска окружења много пре покретања деструктивне фазе.

У тренду

Потврдите нову превару путем е-поште са ажурирањем...

Пецање, Спам
Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом. Сајбер криминалци често прикривају злонамерне поруке као легитимна обавештења како би злоупотребили поверење и изазвали панику. Важно је препознати да преваре попут имејлова „Потврдите ново ажурирање безбедности приватности“ нису повезане ни са једном легитимном компанијом, организацијом или ентитетом, без обзира...

Најгледанији

Учитавање...