Целенасочена кибератака с геополитически оттенък

Изследователи от Kaspersky разкриха нов, досега недокументиран малуер от тип „wiper“, наречен Lotus, използван при атаки срещу енергийни и комунални организации във Венецуела.

Атаките са проведени в края на 2025 г., като анализът показва, че инструментът е създаден не за финансова печалба, а за пълно унищожаване на системи и данни.

Как работи Lotus: подготовка, изолация, унищожение

Атаката следва ясно структурирана многоетапна схема:

1. Подготовка чрез batch скриптове

Първоначално се използват два скрипта, които:

• изключват защитни механизми (напр. услугата UI0Detect)
• координират изпълнението в домейн среда
• деактивират мрежови интерфейси
• прекратяват потребителски сесии
• променят пароли и блокират акаунти

2. Унищожаване с вградени Windows инструменти

Преди финалния payload се използват легитимни инструменти:

• diskpart – за изтриване на дискове
• robocopy – за презаписване на файлове
• fsutil – за запълване на диска и затрудняване на възстановяването

3. Финален етап – Lotus wiper

Самият малуер:

• изтрива всички restore точки
• презаписва физическите дискове сектор по сектор с нули
• изчиства USN journal (следите от файловата система)
• унищожава файлове чрез презапис и случайно преименуване
• повтаря процеса многократно

Резултатът е напълно неизползваема система без възможност за възстановяване.

Не ransomware, а дигитално оръжие

За разлика от типичния ransomware:

• няма искане за откуп
• няма комуникация с жертвата
• няма механизъм за възстановяване

Това ясно показва, че целта е саботаж, а не печалба.

Връзка с геополитическото напрежение

Времето на атаките съвпада с нарастващо напрежение в региона, включително събития около президента Николас Мадуро и киберинциденти срещу държавната петролна компания Petróleos de Venezuela.

Въпреки това:

• няма публични доказателства, че Lotus е използван директно срещу PDVSA
• няма официално приписване на атаката към конкретен извършител

Защо Lotus е особено опасен

Ключови характеристики:

• използва легитимни системни инструменти (living-off-the-land техники)
• атакува на ниво физически диск, не само файлове
• премахва всички възможности за възстановяване
• показва предварително проникване и добро познаване на средата

Според анализа, атакуващите вероятно са имали дългосрочен достъп до инфраструктурата, преди да активират разрушителния етап.

Какво трябва да следят организациите

Експертите от Kaspersky препоръчват наблюдение за:

• промени в NETLOGON ресурси
• масови промени в потребителски акаунти
• деактивиране на мрежови интерфейси
• необичайна употреба на:
  • diskpart
  • robocopy
  • fsutil

Също така:
Редовни офлайн бекъпи, чието възстановяване се тества периодично, остават най-ефективната защита срещу подобни атаки.

Lotus е поредното доказателство, че кибератаките срещу критична инфраструктура навлизат в нова фаза – от кражба на данни към целенасочено разрушение.

В контекста на глобалната нестабилност, подобни инструменти все по-често се използват като част от хибридни конфликти, където дигиталният удар може да има реални икономически и социални последствия.