Kürzlich wurde die Feststellung einer böswilligen Software des Massendatenabbaus berichtet, die bisher nicht öffentlich dokumentiert war und die nach Angaben der Forscher bei gezielten Angriffen auf Energie- und Dienstleistungsorganisationen in Venezuela eingesetzt wurde. Die von Kaspersky veröffentlichte technische Analyse zeigt einen mehrphasigen Betrieb, der darauf ausgelegt ist, Maschinen und Server in einem untrennbaren Zustand zu verlassen: Zuerst werden Verteidigungsmechanismen deaktiviert und Wiederherstellungsoptionen sabotaged, und dann die letzte Phase, in der der Code Festplatten auf einem niedrigen Niveau zerstört.
Die von Analysten erläuterten technischen Details zeigen eine Kette von Werkzeugen und Skripten, die als Bodenvorbereitung wirken. Aus einem ersten Batch-Skript werden Windows-Dienste neutralisiert und Kontrollen durchgeführt, um die Ausführung auf Geräten zu koordinieren, die mit einer Domain verbunden sind. Ein zweites Skript erweitert die Aktionen: listet lokale Konten, zwingt Passwortänderungen, um sie zu deaktivieren, schließt aktive Sitzungen, schneidet Netzwerkschnittstellen und storniert gespeicherte Login, wodurch sowohl menschliche Antwort als auch Remote Recovery schwierig.
Neben diesen administrativen Handlungen greifen die Angreifer auf legitime Systemprogramme zurück - Werkzeuge, die normalerweise von Administratoren verwendet werden - Inhalte löschen und überschreiben: Diskpart wird aufgerufen, "sauber alle" auszuführen und die Sektoren mit Nullen zu füllen, robocopy wird verwendet, um Dateien zu überschreiben und fsubtle wird verwendet, um Dateien zu erstellen, die den freien Speicherplatz besetzen, was jeden Versuch, Daten wiederherzustellen erschwert. Kaspersky beschreibt, wie das Skript nach diesen ersten Manövern das endgültige ausführbare Werk des von Forschern wie Lotus getauften Entwurfs disfiguriert und startet. Sie können den technischen Bericht in der Veröffentlichung des Labors selbst lesen: Kaspersky Securelist über Lotus.
Was unterscheidet Lotus ist, dass es nicht auf das Löschen von Dateien auf der Ebene des Dateisystems beschränkt ist: es arbeitet auf einer tieferen Ebene durch IOCTL Anrufe auf die physische Festplatte, bekommt Scheibengeometrie, reinigt USN Zeitungseinträge und beseitigt Restaurationspunkte. Die Löschkomponente überschreibt vollständige physikalische Sektoren - nicht nur logische Volumina - und wiederholt Entnahme- und Entnahmezyklen von Restaurationspunkten, bis das Gerät in einem Zustand verbleibt, in dem die üblichen Verwertungstechniken unwirksam sind. Parallel erhöht der Wischer seine Privilegien, um vollen administrativen Zugriff zu gewährleisten und Techniken wie zufälliges Umbenennen von Dateien und Überschreiben seiner Inhalte mit Nullen, bevor Sie sie löschen oder ihre Entfernung im Boot planen, wenn sie blockiert sind.
Das von den Experten beschriebene Betriebsmuster zieht eine gezielte und berechnete Kampagne: Die Lotus binäre wurde Mitte Dezember von einer in Venezuela befindlichen Maschine auf eine öffentliche Plattform hochgeladen, und ihr Verhalten passt zu Taktiken, die bei früheren destruktiven Angriffen eingesetzt wurden, in denen die Absicht keine wirtschaftliche Rettung ist, sondern die irreversible Beseitigung von Daten und die längere Unterbrechung kritischer Dienste.
Kaspersky weist auch auf den Kontext hin: das Auftreten von Malware fällt mit einem Moment hoher geopolitischer Spannung in der Region zusammen und mit Medienberichten über Zwischenfälle, die die Energieinfrastruktur an engen Daten beeinflussten. Die Forscher betonen jedoch, dass es keine öffentlichen Beweise gibt, um alle diese Vorfälle direkt auf die Verwendung dieses spezifischen Wischers zurückzuführen oder zu bestätigen, dass bestimmte Organisationen insgesamt von Lotus ausgelöscht wurden.
Aus der Sicht der Erkennung und Antwort sollten die aus dem Bericht hervorgehenden Indikatoren als Priorität für Sicherheitsmanager und -ausrüstung dienen: ungewöhnliche Änderungen im NETLOGON-Sharing, die Handhabung von Diensten wie UI0Detect, massive Änderungen von Benutzerkonten, die Trennung oder Deaktivierung von Netzwerkschnittstellen und die unerwartete und massive Verwendung von Werkzeugen wie Diskpart, Raubkopie oder Fsubtil oft vor der Detonation der destruktiven Last. Die Überwachung der Telemetrie in diesen Bereichen und die Korrelation mit anderen Verlobungssignalen kann es ermöglichen, die Kampagne zu stoppen, bevor die low-level Deletion durchgeführt wird.
In der Praxis unterscheiden sich die grundlegenden Empfehlungen nicht von guten Praktiken gegen destruktive Programme: Offline und air@-@-@ lückenlose Sicherung zu halten, regelmäßig zu überprüfen, ob diese Kopien restriktiv sind, die Nutzung von Konten mit Privilegien einzuschränken und Änderungen in ihnen zu überprüfen, Mindestprivilegienprinzipien in produktiven Umgebungen anzuwenden und erweiterte Erkennung zu implementieren, die den Missbrauch legitimer Systemgewinne identifiziert. Bei operativen Führern und Verteidigungsmitteln zur Bewältigung solcher Bedrohungen haben Sicherheitsbehörden und Antwortzentren offene Empfehlungen veröffentlicht, die überprüft werden müssen, wie beispielsweise die von der United States Infrastructure and Cybersecurity Agency ( CISA - StopRansomware)
Der Lotus-Fall erinnert daran, dass zerstörerische Bedrohungen ein wirksames Instrument in Cyberkonflikten bleiben und dass Verteidigung eine Kombination von technischer Prävention, guten Verwaltungspraktiken und operativer Vorbereitung erfordert. Kritische Infrastruktur-Teams sollten die Sichtbarkeit über Veränderungen in der Umwelt und die sichere Erhaltung von Datenkopien priorisieren, denn sobald ein Wischer, der auf einem physischen Niveau arbeitet, beginnt zu arbeiten, werden Erholungsoptionen drastisch reduziert.
Wenn Sie die technische Analyse und die Verpflichtungsindikatoren, die Kaspersky veröffentlicht hat, vertiefen möchten, können Sie den ursprünglichen Bericht auf Ihrem Blog konsultieren: Kaspersky - Lotus Wischer. Für allgemeine Ransomware und Wischer Vorbereitung und Antwort Maßnahmen, CISA-Ressourcen sind ein guter Ausgangspunkt: https: / / www.cisa.gov / stopransomware.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...