详细内容或原文请订阅后点击阅览
委内瑞拉能源部门成为极具破坏性的莲花雨刮器的目标
Lotus Wiper 袭击了委内瑞拉的能源系统,使用脚本禁用防御,然后擦除了所有无法恢复的数据。卡巴斯基研究人员发现 Lotus Wiper 的目标是 2025-2026 年地区紧张局势中的委内瑞拉能源和公用事业部门。攻击者首先使用批处理脚本来削弱系统、禁用防御并准备环境。然后他们部署了雨刮器,这消除了恢复 [...]
来源:Security Affairs _恶意软件委内瑞拉能源部门成为极具破坏性的莲花雨刮器的目标
Lotus Wiper 袭击了委内瑞拉的能源系统,使用脚本禁用防御,然后擦除了所有无法恢复的数据。
卡巴斯基研究人员发现 Lotus Wiper 针对 2025-2026 年地区紧张局势中的委内瑞拉能源和公用事业部门。攻击者首先使用批处理脚本来削弱系统、禁用防御并准备环境。
然后他们部署了擦除器,它擦除了恢复工具、覆盖磁盘并删除了所有文件,导致系统无法使用。
“两个批处理脚本负责启动攻击的破坏性阶段,并为执行最终的擦除器有效负载准备环境。这些脚本协调整个网络的操作开始,削弱系统防御,并在检索、反混淆和执行之前未知的擦除器(我们称之为“Lotus Wiper”)之前扰乱正常操作。”阅读卡巴斯基发布的报告。 “擦除器删除恢复机制,覆盖物理驱动器的内容,并系统地删除受影响卷上的文件,最终使系统处于不可恢复的状态。”
研究人员指出,没有出现赎金要求,这表明该恶意软件的开发目的是破坏性的,而不是盈利的。该活动看起来针对性很强,旨在永久破坏关键基础设施。
攻击链以名为 OhSyncNow.bat 的批处理文件开始。它检查特定文件夹和网络共享,然后使用隐藏的 XML 文件作为触发器来决定是否继续。如果满足条件,它将运行第二个脚本,为系统销毁做好准备。
在下一阶段,恶意软件会禁用用户帐户、强制主动注销、阻止缓存登录并关闭网络接口以隔离计算机。然后,它会搜索所有磁盘驱动器并运行破坏性命令,例如 diskpart clean all,这会覆盖整个卷并永久删除数据。
皮尔路易吉·帕格尼尼