Lotus Wiper

Natukoy ng mga analyst ng cybersecurity ang isang dating hindi dokumentadong malware na nagbubura ng datos, na ngayon ay kilala bilang Lotus Wiper, na ginamit sa mga naka-target na pag-atake laban sa sektor ng enerhiya at mga utility ng Venezuela sa pagitan ng huling bahagi ng 2025 at unang bahagi ng 2026. Ang malware na ito ay idinisenyo para sa pinakamataas na pagkawasak, na ginagawang ganap na hindi gumagana ang mga nahawaang sistema.

Koordinadong Pagsasagawa ng Pag-atake: Pag-deploy nang Maramihang Yugto

Ang pag-atake ay umaasa sa dalawang batch script na nag-oorganisa ng isang maingat na naka-stage na operasyon. Ang mga script na ito ay nag-synchronize ng mga aktibidad sa buong network, nagpapahina sa mga depensa ng system, at nakakagambala sa mga normal na operasyon bago simulan ang pangwakas na payload. Kabilang sa kanilang tungkulin ang pagkuha, pag-deobfuscate, at pagpapatupad ng wiper component, na tinitiyak ang isang maayos na paglipat sa mapanirang yugto.

Sistematikong Pagsira: Paano Gumagana ang Lotus Wiper

Kapag na-activate na, ang Lotus Wiper ay nagsasagawa ng isang komprehensibong proseso ng pag-aalis ng datos na nag-aalis ng parehong paggana ng sistema at mga opsyon sa pagbawi. Kabilang sa mga mapanirang kakayahan nito ang:

• Pag-aalis ng mga mekanismo ng pagbawi, kabilang ang mga restore point
• Pag-overwrite ng mga pisikal na sektor ng drive na may zeroed data
• Pagtanggal ng mga file sa lahat ng naka-mount na volume
• Paglilinis ng mga Update Sequence Number (USN) sa mga volume journal

Sama-samang tinitiyak ng mga aksyong ito na ang mga apektadong sistema ay hindi na maibabalik o muling itayo sa pamamagitan ng mga kumbensyonal na pamamaraan.

Mga Indikasyon ng Layunin: Walang Pinansyal na Motibasyon

Hindi tulad ng ransomware, ang Lotus Wiper ay walang mga mensahe ng pangingikil o mga tagubilin sa pagbabayad. Ang kawalan na ito ay mariing nagmumungkahi na ang kampanya ay hindi hinihimok ng mga layuning pinansyal kundi ng sabotahe o mga motibong geopolitikal. Kapansin-pansin, ang sample ng malware ay na-upload sa publiko noong kalagitnaan ng Disyembre 2025 mula sa isang sistema ng Venezuelan, ilang sandali bago ang aktibidad ng militar ng US noong Enero 2026. Bagama't walang direktang kaugnayan ang nakumpirma, ang tiyempo ay kasabay ng pagtaas ng mga ulat ng aktibidad sa cyber na naka-target sa parehong sektor, na nagpapahiwatig ng isang lubos na nakatutok na operasyon.

Pag-target sa mga Legacy System: Paggamit sa mga Lumang Kapaligiran

Ang kadena ng pag-atake ay nagsisimula sa isang batch script na nagsisimula ng isang prosesong may maraming yugto. Isa sa mga unang aksyon nito ay ang pagtatangkang i-disable ang serbisyo ng Windows Interactive Services Detection (UI0Detect). Ang serbisyong ito, na inalis sa mga modernong bersyon ng Windows pagkatapos ng bersyon ng Windows 10 noong 1803, ay nagpapahiwatig na ang malware ay partikular na idinisenyo upang i-target ang mga mas lumang operating system.

Sinusuri rin ng script ang presensya ng isang NETLOGON share at kinukuha ang isang remote XML file. Inihahambing nito ang file na ito sa isang lokal na nakaimbak na bersyon sa mga direktoryo tulad ng C:\lotus o %SystemDrive%\lotus. Malamang na tinutukoy ng pag-uugaling ito kung ang sistema ay bahagi ng isang Active Directory domain. Kung hindi magagamit ang remote file, magtatapos ang script; kung hindi, magpapatuloy ito pagkatapos ng posibleng pagpapakilala ng isang randomized na pagkaantala na hanggang 20 minuto upang subukang muli ang koneksyon.

Paghahanda sa Kapaligiran: Pag-disable at Paggambala sa mga Sistema

Inihahanda ng pangalawang batch script ang nakompromisong sistema para sa pagkawasak sa pamamagitan ng sistematikong pagpapahina ng estado ng operasyon nito. Kabilang sa mga aksyon nito ang:

• Paglilista ng mga lokal na account ng gumagamit at pag-disable ng mga naka-cache na kredensyal
• Pag-log off sa mga aktibong sesyon ng gumagamit
• Pag-disable ng mga interface ng network
• Pagsasagawa ng diskpart clean all command upang burahin ang mga logical drive

Bukod pa rito, ginagamit nito ang mga katutubong kagamitan sa Windows tulad ng robocopy upang i-overwrite o burahin ang mga file at fsutil upang lumikha ng malalaking file na kumokonsumo sa lahat ng magagamit na espasyo sa disk, na epektibong pumipigil sa mga pagsisikap sa pagbawi.

Pangwakas na Pagpapatupad ng Payload: Hindi Maibabalik na Pinsala

Pagkatapos ng paghahanda, ide-deploy ang Lotus Wiper payload. Kinukumpleto nito ang proseso ng pagkasira sa pamamagitan ng pagbura ng mga restore point, pag-overwrite ng mga pisikal na sektor, pag-clear ng mga talaan ng journal, at pag-alis ng lahat ng system file sa mga naka-mount na volume. Sa yugtong ito, ang pagbawi ay halos imposible nang walang mga panlabas na backup.

Mga Rekomendasyon sa Depensa: Pagsubaybay at Pagpapagaan

Ang mga organisasyon, lalo na ang mga nasa kritikal na sektor ng imprastraktura, ay dapat gumamit ng mga proaktibong estratehiya sa pagsubaybay at pagtuklas. Kabilang sa mga pangunahing lugar na dapat pagtuunan ng pansin ang:

Pagsubaybay sa mga pagbabago sa mga share ng NETLOGON
Pagtukoy sa mga pagtatangka ng pag-alis ng kredensyal o pagtataas ng pribilehiyo
Pagsubaybay sa hindi pangkaraniwang paggamit ng mga katutubong kagamitan tulad ng fsutil, robocopy, at diskpart

Istratehikong Pananaw: Katibayan ng Naunang Kompromiso

Ang pagkakaroon ng mga functionality na iniayon sa mga lumang Windows environment ay nagmumungkahi ng naunang pagmamanman at pangmatagalang pag-access. Malamang na may detalyadong kaalaman ang mga attacker sa target na imprastraktura at maaaring nakompromiso na nila ang mga domain environment bago pa man ilunsad ang mapanirang yugto.