Ende 2025 und Anfang 2025 haben Cyber-Sicherheits-Wissenschaftler eine zerstörerische Malware identifiziert, die in einer Reihe von Angriffen gegen die Energie- und öffentlichen Dienstleistungen in Venezuela verwendet wurde. Das Artefakt, getauft durch die Analysen als Lotus Wächter, sucht keine Erpressung: sein Design zielt darauf ab, unbrauchbare Systeme zu verlassen, indem Wiederherstellungsmechanismen entfernt und sowohl Dateien als auch physische Sektoren der Festplatte überschreiben.
Laut der von der Firma veröffentlichten Forschung, die sie verfolgte, kombiniert die Kampagne Batch-Skripte mit einer endgültigen ausführbaren, die als Massendaten-Entwurf fungiert. Die ersten Skripte sind dafür verantwortlich, den Beginn der Aktion durch das Netzwerk zu koordinieren, lokale Verteidigungsabbau und den Boden für die Ausführung des Wischers vorzubereiten. Zu den Vorbereitungsoperationen gehören das Stoppen systemspezifischer Dienste, das Überprüfen und Wiederherstellen von Dateien aus freigegebenen Domain-Ressourcen, und das Führen von Windows nativen Befehlen sowohl zum Löschen von Volumes als auch zum Zwingen von Speicherfüllung, um jede Wiederherstellung schwierig zu machen.
Ein relevantes technisches Detail ist, dass der Code versucht, mit dem Nachweis interaktiver Windows-Dienste (bekannt als UI0Detect) zu interagieren. Diese Funktionalität wurde in modernen Versionen des Betriebssystems entfernt, was darauf hindeutet, dass das Skript für Maschinen vor Windows 10 Version 1803 konzipiert wurde. Dieser Track, gepaart mit der Verwendung von Kontrollen auf dem typischen NETLOGON-Sharing von Active Directory-Domains, zeigt an, dass die Angreifer die Topologie und Antike der Zielumgebung kannten und höchstwahrscheinlich Beharrlichkeit in der Domain im Voraus erhalten hatte.
Die Angriffskette beinhaltet die Ausführung legitimer Gewinne des Systems selbst, um Zerstörung zu erreichen. Werkzeuge wie DISKPART (mit der Operation "sauber alle"), ROBOCOPY und FSUTIL werden verwendet, um Festplatten zu reinigen, Dateien zu überschreiben und Freiraum zu verbrauchen, bis das Volumen ohne die Fähigkeit, richtig zu arbeiten. Der spätere Wischer vervollständigt die Arbeit durch Entfernen von Restaurationspunkten, Schreiben von Nullen in physikalischen Sektoren und Rücksetzen von Datensätzen wie dem USN-Volumenmagazin, so dass das System in einem Zustand, aus dem es sehr schwierig ist, Daten ohne saubere Sicherung wiederherzustellen.
Die Probe wurde im September 2025 erstellt und nach öffentlichen Aufzeichnungen auf eine Plattform hochgeladen, die von einer Maschine in Venezuela im Dezember 2025, Wochen vor einer amerikanischen militärischen Aktion im Land im Anfang Januar 2025 zugänglich ist. Die Forscher weisen auf den vorübergehenden Zufall hin, vermeiden aber eine direkte Beziehung ohne weitere Beweise zu etablieren, obwohl sie darauf hinweisen, dass die Zunahme in einem Zeitraum mit einer Zunahme der öffentlichen Berichte über schädliche Aktivitäten gegen den gleichen Sektor und Region aufgetreten ist.
Bei Sicherheitsbeamten und Verwaltern wirft dies eine Reihe praktischer Punkte auf. Zunächst sollte die Beobachtung von Änderungen in NETLOGON Fächern, abnormen Zugriff auf den Domänencontroller oder Privileg Kletterzeichen mit der höchsten Priorität behandelt werden. Auch die ungewöhnliche Verwendung von nativen Gewinnen wie Datenblatt, Kolophonium oder Fsubtil auf sensiblen Servern und Workstations ist ein Verpflichtungsindikator, der sofortige Forschung verdient.
Neben der Erkennung erfordert die Minderung klassische, aber effektive präventive Maßnahmen: Netzwerksegmentierung, um den Umfang einer engagierten Domain, Mindestprivileg-Prinzipien, die Verschärfung von Domänencontrollern und die Zugriffsrichtlinien für kritische Ressourcen zu begrenzen. Nach isolierten, überprüften Backups und regelmäßigen Restaurationstests kann einen Unterschied gegen einen Wischer machen, der sowohl lokale Daten als auch Erholungspunkte auslöscht. Öffentliche Leitlinien und Instrumente zur Reaktion auf destruktive Angriffe und Ransomware bieten gute Handlungsrahmen, zum Beispiel die Empfehlungen der Behörden zum Schutz vor Ransomware und ähnliche Angriffe enthalten in diesen Fällen anwendbare Maßnahmen: CISA - StopRansomware.
Für Forscher und Erkennungsausrüstung, halten Sie Beweise und Protokolle, bevor Reinigungssysteme für das Verständnis von Vektoren und Reichweiten unerlässlich sind. Die Erfassung und Korrelation von Aktivität in Domänencontrollern, PowerShell-Ereignissen, kritischen APIs-Anrufen und Systembefehlen hilft, die Intrusion wieder aufzubauen. Sicherheitsanbieter veröffentlichen oft Indikatoren und Taktiken, Techniken und Verfahren (TTP) nach der Untersuchung solcher Vorfälle; in diesem Fall kommt der Bericht, der den Wischer identifiziert, von einem anerkannten Sicherheitsunternehmen, das aktive Bedrohungen global analysiert: Kaspersky.
Schließlich sei daran erinnert, dass die in diesen Kampagnen beschäftigten Angreifer nicht immer auf wirtschaftliche Motivationen reagieren: das Fehlen von Rettungsforderungen und die Stärke des Löschpunktes auf Sabotage- oder Koerziationsziele. In kritischen Umgebungen wie Energie, wo die Verfügbarkeit entscheidend ist, ist die Kombination von Intelligenz, präventiver Schutz und Bereitschaft zur Erholung die beste Verteidigung gegen solche aggressiven Werkzeuge wie Lotus Wischer.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...