Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Lotus Wiper to nowo ujawnione destrukcyjne oprogramowanie typu wiper, którego celem nie jest wyłudzenie okupu, lecz trwałe uszkodzenie systemów i bezpowrotne zniszczenie danych. Tego rodzaju zagrożenia są szczególnie groźne dla infrastruktury krytycznej, ponieważ mogą jednocześnie sparaliżować działalność operacyjną i utrudnić proces przywracania środowiska po incydencie.
Opisana kampania została powiązana z atakami na organizacje z sektora energetycznego i usług komunalnych w Wenezueli. Z perspektywy bezpieczeństwa oznacza to eskalację ryzyka dla podmiotów, których ciągłość działania ma bezpośredni wpływ na funkcjonowanie państwa, przemysłu i obywateli.
W skrócie
- Lotus Wiper został użyty w ukierunkowanej kampanii przeciwko podmiotom z sektora energii w Wenezueli.
- Atak wykorzystuje skrypty wsadowe Windows do przygotowania systemu do fazy destrukcyjnej.
- Malware usuwa punkty przywracania, nadpisuje fizyczne dyski zerami i kasuje pliki na zamontowanych woluminach.
- Łańcuch ataku sugeruje wcześniejszy dostęp napastników do środowiska i dobrą znajomość infrastruktury ofiary.
- W operacji wykorzystano natywne narzędzia systemowe, co utrudnia wykrycie złośliwych działań.
Kontekst / historia
Lotus Wiper został opisany jako wcześniej nieudokumentowane narzędzie użyte pod koniec 2025 roku i na początku 2026 roku. Analiza dostępnych artefaktów wskazuje, że próbka była związana ze środowiskiem zlokalizowanym w Wenezueli, a sam komponent przygotowano jeszcze we wrześniu 2025 roku. Brak funkcji wymuszania płatności oraz dobór celu sugerują, że nie była to klasyczna operacja ransomware, lecz zaplanowany akt cybernetycznego sabotażu.
Istotny jest również sposób koordynacji ataku. Mechanizm wyzwalania destrukcyjnej fazy opierał się na elementach sieciowych i udziałach domenowych, co może świadczyć o wcześniejszym osadzeniu się napastników w środowisku Active Directory. Taki model działania jest charakterystyczny dla bardziej dojrzałych, selektywnych kampanii wymierzonych w konkretne organizacje, a nie dla masowych infekcji.
Analiza techniczna
Łańcuch ataku rozpoczyna się od skryptu wsadowego odpowiedzialnego za inicjację procesu niszczenia. Na wczesnym etapie podejmowana jest próba zatrzymania usługi UI0Detect, co może sugerować przygotowanie narzędzia z myślą o starszych wersjach systemu Windows. Następnie malware sprawdza dostępność udziału NETLOGON i odczytuje zdalny plik XML, który pełni rolę znacznika uruchomienia kolejnej fazy.
Po spełnieniu warunku sieciowego wykonywany jest następny skrypt, którego zadaniem jest przygotowanie hosta do sabotażu. Obejmuje to enumerację lokalnych kont, ograniczenie logowania z pamięci podręcznej, wylogowanie aktywnych sesji oraz dezaktywację interfejsów sieciowych. Już ten etap wskazuje, że celem nie jest wyłącznie usunięcie danych, ale także odcięcie ofiary od możliwości szybkiej reakcji.
Do niszczenia danych wykorzystywane są przede wszystkim natywne narzędzia Windows. Polecenie diskpart clean all służy do nadpisywania nośników, robocopy może zostać użyte do rekursywnego nadpisywania lub usuwania zawartości katalogów, a fsutil tworzy bardzo duży plik zajmujący niemal całą wolną przestrzeń dyskową. Takie połączenie działań znacząco utrudnia odzyskiwanie danych i prowadzenie działań naprawczych.
Końcowy implant ukrywa się pod nazwami przypominającymi legalne komponenty środowiska HCL Domino, co ma ograniczyć ryzyko szybkiego wykrycia. Jeden z plików pełni rolę loadera odszyfrowującego właściwy ładunek i uruchamiającego Lotus Wiper. Po aktywacji malware korzysta z dostępnych uprawnień administracyjnych, usuwa punkty przywracania systemu, a następnie nadpisuje sektory fizycznych dysków zerami.
Po zniszczeniu zawartości nośników złośliwe oprogramowanie identyfikuje zamontowane woluminy i uruchamia procedury kasowania plików. Oprócz samego usuwania danych czyści także informacje z dziennika zmian USN, co ogranicza możliwości analizy śledczej i odtworzenia przebiegu incydentu. Pliki mogą być nadpisywane, losowo przemianowywane i usuwane, a w przypadku blokad przewidziano także ich skasowanie po restarcie systemu.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem działania Lotus Wiper jest trwała utrata dostępności systemów i danych. W środowiskach energetycznych może to oznaczać przerwy operacyjne, problemy z nadzorem infrastruktury, zakłócenia procesów technologicznych oraz długotrwałą odbudowę środowiska IT i OT. Usunięcie punktów przywracania oraz nadpisanie fizycznych nośników znacząco obniża skuteczność standardowych procedur recovery.
Niepokój budzi także wykorzystanie udziału NETLOGON jako elementu uruchamiającego operację. Taki wzorzec sugeruje obecność napastnika wewnątrz domeny i możliwość przemieszczania się pomiędzy systemami. Dodatkowo użycie legalnych narzędzi administracyjnych wpisuje się w technikę living off the land, przez co złośliwa aktywność może przez pewien czas wyglądać jak rutynowe działania administratora.
Chociaż kampania została powiązana z Wenezuelą, ryzyko nie ogranicza się do jednego kraju czy sektora. Zastosowane techniki mogą zostać łatwo przeniesione do operacji wymierzonych w przemysł, administrację publiczną, transport czy innych operatorów infrastruktury krytycznej. To sprawia, że Lotus Wiper należy traktować nie tylko jako pojedynczy incydent, lecz także jako model przyszłych ataków destrukcyjnych.
Rekomendacje
Organizacje powinny objąć szczególnym monitoringiem udziały domenowe, w tym przede wszystkim NETLOGON, aby wykrywać nieautoryzowane zmiany plików oraz nietypowe artefakty wykorzystywane do sterowania uruchomieniem kodu na wielu hostach. Równie ważne jest ograniczenie uprawnień administracyjnych i ścisły nadzór nad kontami uprzywilejowanymi w środowisku Active Directory.
Po stronie detekcji warto budować reguły dla nietypowego użycia narzędzi takich jak diskpart, robocopy, fsutil, netsh czy sc.exe. Kluczowe jest jednak nie tyle pojedyncze wywołanie komendy, ile analiza całej sekwencji działań: wylogowywanie sesji, wyłączanie sieci, czyszczenie mechanizmów odzyskiwania i masowe operacje na woluminach razem tworzą wyraźny obraz operacji sabotażowej.
Niezbędna pozostaje segmentacja sieci oraz separacja systemów krytycznych od standardowego środowiska biurowego. Organizacje powinny również regularnie testować procedury odtwarzania po awarii w scenariuszu, w którym lokalne punkty przywracania zostały usunięte, a część systemów plików nadpisana. W praktyce oznacza to potrzebę utrzymywania kopii offline, backupów niemodyfikowalnych oraz cyklicznych ćwiczeń disaster recovery.
Dodatkowo incydent ten pokazuje, jak dużym problemem pozostają starsze wersje Windows i systemy legacy. Przestarzałe komponenty, ograniczona telemetria i słabsze zabezpieczenia czynią je atrakcyjnym celem dla napastników. Dlatego modernizacja, hardening i pełny inwentarz zasobów powinny być traktowane jako element podstawowej strategii cyberodporności.
Podsumowanie
Lotus Wiper to przykład nowoczesnego malware destrukcyjnego zaprojektowanego do paraliżowania infrastruktury krytycznej. Kampania łączy wcześniejsze przygotowanie środowiska, wykorzystanie elementów domenowych do koordynacji działań oraz wielowarstwowe techniki niszczenia danych i utrudniania odzyskiwania.
Dla zespołów bezpieczeństwa najważniejsza lekcja jest jasna: skuteczna obrona przed tego typu zagrożeniami zależy nie tylko od wykrycia końcowego payloadu, lecz przede wszystkim od wczesnego zauważenia działań przygotowawczych. Monitorowanie Active Directory, anomalii w użyciu narzędzi administracyjnych oraz sygnałów sabotażu powinno stać się priorytetem w ochronie środowisk krytycznych.
Źródła
- The Hacker News — https://thehackernews.com/2026/04/lotus-wiper-malware-targets-venezuelan.html
- Securelist — Lotus Wiper: a new threat targeting the energy and utilities sector — https://securelist.com/tr/lotus-wiper/119472/
- Microsoft Learn — Restore points — https://learn.microsoft.com/en-us/windows/win32/sr/restore-points
- Microsoft Learn — Change Journals — https://learn.microsoft.com/en-us/windows/win32/fileio/change-journals