Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Lotus Silecek

Lotus Silecek

Mezo'de Kötü amaçlı yazılım'de
Çevir:

Siber güvenlik analistleri, 2025 sonu ile 2026 başı arasında Venezuela'nın enerji ve kamu hizmetleri sektörüne yönelik hedefli saldırılarda kullanılan ve Lotus Wiper olarak bilinen, daha önce belgelenmemiş bir veri silme kötü amaçlı yazılımını tespit etti. Bu kötü amaçlı yazılım, maksimum yıkım için tasarlanmış olup, bulaştığı sistemleri tamamen çalışamaz hale getiriyor.

Koordineli Saldırı Yürütme: Çok Aşamalı Dağıtım

Saldırı, dikkatlice planlanmış bir operasyonu düzenleyen iki toplu işlem betiğine dayanmaktadır. Bu betikler, ağ genelindeki faaliyetleri senkronize eder, sistem savunmalarını zayıflatır ve son zararlı yazılımı başlatmadan önce normal işlemleri aksatır. Rolleri arasında silme bileşenini almak, şifresini çözmek ve çalıştırmak yer alır ve böylece yıkıcı aşamaya sorunsuz bir geçiş sağlanır.

Sistematik Yıkım: Lotus Silecek Nasıl Çalışır?

Etkinleştirildikten sonra, Lotus Wiper hem sistem işlevselliğini hem de kurtarma seçeneklerini ortadan kaldıran kapsamlı bir veri silme işlemi gerçekleştirir. Yıkıcı yetenekleri şunlardır:

  • Kurtarma mekanizmalarının, geri yükleme noktaları da dahil olmak üzere, kaldırılması.
  • Fiziksel sürücü sektörlerinin üzerine sıfırlanmış verilerle yazılması.
  • Bağlı tüm disklerdeki dosyaların silinmesi
  • Ciltli defterlerdeki Güncelleme Sıra Numaralarının (USN) temizlenmesi

Bu önlemlerin tümü, etkilenen sistemlerin geleneksel yöntemlerle onarılamayacağı veya yeniden inşa edilemeyeceği anlamına gelir.

Niyet Göstergeleri: Mali Amaçlı Değil

Fidye yazılımlarının aksine, Lotus Wiper'da herhangi bir şantaj mesajı veya ödeme talimatı bulunmamaktadır. Bu eksiklik, kampanyanın finansal amaçlarla değil, sabotaj veya jeopolitik güdülerle yönlendirildiğini güçlü bir şekilde düşündürmektedir. Dikkat çekici bir şekilde, kötü amaçlı yazılım örneği, ABD'nin Ocak 2026'daki askeri faaliyetlerinden kısa bir süre önce, Aralık 2025 ortalarında bir Venezuela sisteminden kamuya açık olarak yüklenmiştir. Doğrudan bir bağlantı doğrulanmamış olsa da, zamanlama aynı sektörü hedef alan siber faaliyetlere ilişkin artan raporlarla örtüşmekte ve oldukça odaklanmış bir operasyona işaret etmektedir.

Eski Sistemleri Hedeflemek: Güncelliğini Kaybetmiş Ortamlardan Yararlanmak

Saldırı zinciri, çok aşamalı bir süreci başlatan bir toplu işlem betiğiyle başlar. İlk eylemlerinden biri, Windows Etkileşimli Hizmetler Algılama (UI0Detect) hizmetini devre dışı bırakmaya çalışmaktır. Windows 10 sürüm 1803'ten sonraki modern Windows sürümlerinde kaldırılan bu hizmet, kötü amaçlı yazılımın özellikle eski işletim sistemlerini hedeflemek üzere tasarlandığını gösterir.

Komut dosyası ayrıca bir NETLOGON paylaşımının varlığını kontrol eder ve uzak bir XML dosyasını alır. Bu dosyayı C:\lotus veya %SystemDrive%\lotus gibi dizinlerde yerel olarak depolanan bir sürümle karşılaştırır. Bu davranış, sistemin bir Active Directory etki alanının parçası olup olmadığını belirler. Uzak dosya kullanılamıyorsa, komut dosyası sonlanır; aksi takdirde, bağlantıyı yeniden denemek için 20 dakikaya kadar rastgele bir gecikme ekledikten sonra devam eder.

Ortam Hazırlığı: Sistemleri Devre Dışı Bırakma ve Bozma

İkinci toplu işlem betiği, sistemin çalışma durumunu sistematik olarak zayıflatarak, tehlikeye atılmış sistemi imha için hazırlar. Eylemleri şunlardır:

  • Yerel kullanıcı hesaplarını listeleme ve önbelleğe alınmış kimlik bilgilerini devre dışı bırakma
  • Aktif kullanıcı oturumlarından çıkış yapılıyor.
  • Ağ arayüzlerini devre dışı bırakma
  • Mantıksal sürücüleri silmek için diskpart clean all komutunu çalıştırma

Ayrıca, robocopy gibi yerel Windows yardımcı programlarını kullanarak dosyaların üzerine yazar veya siler ve fsutil kullanarak tüm kullanılabilir disk alanını tüketen büyük dosyalar oluşturur, bu da kurtarma çabalarını etkili bir şekilde engeller.

Son Yük Yürütme: Geri Dönüşü Olmayan Hasar

Hazırlıkların ardından Lotus Wiper zararlı yazılımı devreye alınır. Bu yazılım, geri yükleme noktalarını silerek, fiziksel sektörlerin üzerine yazarak, günlük kayıtlarını temizleyerek ve bağlı birimlerdeki tüm sistem dosyalarını kaldırarak imha işlemini tamamlar. Bu aşamada, harici yedeklemeler olmadan kurtarma neredeyse imkansız hale gelir.

Savunma Önerileri: İzleme ve Azaltma

Özellikle kritik altyapı sektörlerinde faaliyet gösteren kuruluşlar, proaktif izleme ve tespit stratejileri benimsemelidir. Odaklanılması gereken temel alanlar şunlardır:

NETLOGON hisselerindeki değişikliklerin izlenmesi
Kimlik bilgilerinin ele geçirilmesi veya ayrıcalık yükseltme girişimlerinin tespiti
fsutil, robocopy ve diskpart gibi yerel araçların alışılmadık kullanımının izlenmesi

Stratejik Bakış Açısı: Daha Önceki Uzlaşmanın Kanıtları

Eski Windows ortamlarına uyarlanmış işlevlerin varlığı, önceden keşif yapıldığını ve uzun süreli erişim sağlandığını düşündürmektedir. Saldırganların hedef altyapı hakkında ayrıntılı bilgiye sahip oldukları ve yıkıcı aşamayı başlatmadan çok önce etki alanı ortamlarını ele geçirmiş olabilecekleri muhtemeldir.

trend

Yeni Gizlilik ve Güvenlik Güncellemesi Onay...

Kimlik avı, İstenmeyen e-posta
Acil işlem gerektiren beklenmedik e-postalar her zaman dikkatle ele alınmalıdır. Siber suçlular, güveni istismar etmek ve paniğe yol açmak için kötü amaçlı mesajları sıklıkla meşru bildirimler gibi gösterirler. 'Yeni Gizlilik Güvenlik Güncellemesini Onayla' e-postaları gibi dolandırıcılıkların, ne kadar resmi görünürlerse görünsünler, herhangi bir meşru şirket, kuruluş veya kurumla ilişkili...

En çok görüntülenen

Yükleniyor...