Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Gạt nước Lotus

Gạt nước Lotus

Đến năm Mezo năm Phần mềm độc hại
Dịch sang:

Các nhà phân tích an ninh mạng đã xác định một phần mềm độc hại xóa dữ liệu chưa từng được ghi nhận trước đây, hiện được biết đến với tên gọi Lotus Wiper, được triển khai trong các cuộc tấn công có chủ đích nhằm vào lĩnh vực năng lượng và tiện ích của Venezuela từ cuối năm 2025 đến đầu năm 2026. Phần mềm độc hại này được thiết kế để gây ra sự tàn phá tối đa, khiến các hệ thống bị nhiễm hoàn toàn không thể hoạt động được.

Thực thi tấn công phối hợp: Triển khai nhiều giai đoạn

Cuộc tấn công dựa vào hai tập lệnh xử lý hàng loạt được dàn dựng cẩn thận để thực hiện một quy trình đã được lên kế hoạch kỹ càng. Các tập lệnh này đồng bộ hóa các hoạt động trên toàn mạng, làm suy yếu hệ thống phòng thủ và làm gián đoạn hoạt động bình thường trước khi khởi chạy phần mềm độc hại cuối cùng. Vai trò của chúng bao gồm thu thập, giải mã và thực thi thành phần xóa dữ liệu, đảm bảo quá trình chuyển đổi liền mạch sang giai đoạn phá hoại.

Phá hủy có hệ thống: Cách thức hoạt động của Lotus Wiper

Sau khi được kích hoạt, Lotus Wiper sẽ thực hiện quy trình xóa dữ liệu toàn diện, loại bỏ cả chức năng hệ thống và các tùy chọn khôi phục. Khả năng phá hủy của nó bao gồm:

  • Loại bỏ các cơ chế phục hồi, bao gồm cả điểm khôi phục.
  • Ghi đè dữ liệu về 0 lên các sector vật lý của ổ đĩa.
  • Xóa các tập tin trên tất cả các ổ đĩa đã được gắn kết.
  • Xóa số thứ tự cập nhật (USN) trong các tạp chí số lượng lớn

Những hành động này gộp lại đảm bảo rằng các hệ thống bị ảnh hưởng không thể được khôi phục hoặc xây dựng lại bằng các phương pháp thông thường.

Dấu hiệu nhận biết ý định: Không phải vì mục đích tài chính

Không giống như mã độc tống tiền, Lotus Wiper không chứa bất kỳ thông điệp tống tiền hay hướng dẫn thanh toán nào. Sự thiếu vắng này cho thấy rõ ràng chiến dịch này không nhằm mục đích tài chính mà là nhằm mục đích phá hoại hoặc động cơ địa chính trị. Đáng chú ý, mẫu phần mềm độc hại này đã được tải lên công khai vào giữa tháng 12 năm 2025 từ một hệ thống của Venezuela, ngay trước hoạt động quân sự của Mỹ vào tháng 1 năm 2026. Mặc dù chưa có liên kết trực tiếp nào được xác nhận, nhưng thời điểm này trùng khớp với sự gia tăng các báo cáo về hoạt động mạng nhắm vào cùng một lĩnh vực, cho thấy đây là một chiến dịch có mục tiêu rất cao.

Tấn công các hệ thống cũ: Khai thác môi trường lỗi thời

Chuỗi tấn công bắt đầu bằng một tập lệnh hàng loạt khởi động một quy trình nhiều giai đoạn. Một trong những hành động ban đầu của nó là cố gắng vô hiệu hóa dịch vụ Phát hiện Dịch vụ Tương tác Windows (UI0Detect). Dịch vụ này, đã bị loại bỏ trong các phiên bản Windows hiện đại sau Windows 10 phiên bản 1803, cho thấy phần mềm độc hại này được thiết kế đặc biệt để nhắm mục tiêu vào các hệ điều hành cũ hơn.

Tập lệnh cũng kiểm tra sự hiện diện của thư mục chia sẻ NETLOGON và truy xuất một tệp XML từ xa. Nó so sánh tệp này với phiên bản được lưu trữ cục bộ trong các thư mục như C:\lotus hoặc %SystemDrive%\lotus. Hành vi này có thể xác định xem hệ thống có thuộc miền Active Directory hay không. Nếu tệp từ xa không khả dụng, tập lệnh sẽ kết thúc; ngược lại, nó sẽ tiếp tục sau khi có thể thêm độ trễ ngẫu nhiên lên đến 20 phút để thử kết nối lại.

Chuẩn bị môi trường: Vô hiệu hóa và làm gián đoạn các hệ thống

Tập lệnh xử lý đợt thứ hai chuẩn bị hệ thống bị xâm nhập để phá hủy bằng cách làm suy yếu trạng thái hoạt động của nó một cách có hệ thống. Các hành động của nó bao gồm:

  • Liệt kê các tài khoản người dùng cục bộ và vô hiệu hóa thông tin đăng nhập được lưu trong bộ nhớ cache.
  • Đăng xuất các phiên người dùng đang hoạt động
  • Vô hiệu hóa giao diện mạng
  • Thực thi lệnh diskpart clean all để xóa các ổ đĩa logic.

Ngoài ra, nó còn tận dụng các tiện ích gốc của Windows như robocopy để ghi đè hoặc xóa tập tin và fsutil để tạo các tập tin lớn chiếm hết dung lượng ổ đĩa, ngăn chặn hiệu quả các nỗ lực khôi phục.

Thực thi tải trọng cuối cùng: Thiệt hại không thể khắc phục

Sau khi chuẩn bị xong, phần mềm Lotus Wiper được triển khai. Nó hoàn tất quá trình phá hủy bằng cách xóa các điểm khôi phục, ghi đè lên các sector vật lý, xóa các bản ghi nhật ký và loại bỏ tất cả các tệp hệ thống trên các ổ đĩa được gắn kết. Ở giai đoạn này, việc khôi phục gần như không thể thực hiện được nếu không có bản sao lưu bên ngoài.

Các khuyến nghị phòng ngừa: Giám sát và giảm thiểu rủi ro

Các tổ chức, đặc biệt là những tổ chức trong các lĩnh vực cơ sở hạ tầng trọng yếu, nên áp dụng các chiến lược giám sát và phát hiện chủ động. Các lĩnh vực trọng tâm chính bao gồm:

Theo dõi các thay đổi trong số lượng chia sẻ NETLOGON.
Phát hiện các nỗ lực đánh cắp thông tin đăng nhập hoặc leo thang đặc quyền
Theo dõi việc sử dụng bất thường các công cụ gốc như fsutil, robocopy và diskpart.

Thông tin chiến lược: Bằng chứng về sự thỏa hiệp trước đó

Sự hiện diện của các chức năng được thiết kế riêng cho môi trường Windows lỗi thời cho thấy đã có sự trinh sát từ trước và quyền truy cập lâu dài. Kẻ tấn công có thể đã nắm rõ chi tiết về cơ sở hạ tầng mục tiêu và có thể đã xâm nhập vào môi trường miền từ rất lâu trước khi bắt đầu giai đoạn phá hoại.

xu hướng

Xác nhận email lừa đảo về cập nhật bảo mật quyền...

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu hành động khẩn cấp luôn cần được xử lý thận trọng. Tội phạm mạng thường ngụy trang các tin nhắn độc hại thành các thông báo hợp pháp để lợi dụng lòng tin và gây hoang mang. Điều cần thiết là phải nhận ra rằng các trò lừa đảo như email "Xác nhận cập nhật bảo mật quyền riêng tư mới" không liên quan đến bất kỳ công ty, tổ chức hoặc thực thể hợp pháp nào, bất kể chúng...

Xem nhiều nhất

Đang tải...