Az új Lotus kártevő lecsapott a venezuelai energiaszektorra

A venezuelai energia- és közműszolgáltatók ellen új, eddig nem dokumentált adatmegsemmisítő kártevőt, a Lotust vetették be 2025 végén. A káros programot december közepén töltötték fel egy nyilvános platformra Venezuelából, majd a Kaspersky kutatói részletes elemzésnek vetették alá. A támadás első lépéseként két batch script fut le, amelyek gyengítik a rendszer védelmét és megzavarják a normális működést – ezzel előkészítik a terepet a végső pusztításhoz.

Tudatos megsemmisítés

A Lotus célja, hogy a kompromittált rendszert teljesen helyrehozhatatlanná tegye. Ehhez eltávolítja a helyreállítási mechanizmusokat, felülírja a fizikai meghajtókat, és módszeresen törli az összes fájlt az érintett meghajtókról. Mindez azt eredményezi, hogy a fertőzött gép üzemképtelenné válik, és helyreállításra nincs lehetőség. Emellett a támadások időzítése geopolitikai feszültségekkel esik egybe: 2026. január 3-án például letartóztatták Nicolás Maduro akkori elnököt. A venezuelai állami olajvállalat, a PDVSA decemberben jelentős fennakadásokat tapasztalt, amelyeket az Egyesült Államokra hárított, bár nincs bizonyíték arra, hogy valóban teljes adattörlés történt.

Előjáték a pusztításhoz

A támadás egy OhSyncNow.bat nevű script lefuttatásával kezdődik, amely leállítja a Windows UI0Detect szolgáltatását, majd XML-fájlokon keresztül kommunikál a tartományi gépekkel. Ha bizonyos feltételek teljesülnek, egy újabb script lép működésbe: felhasználókat sorol fel, jelszavakat változtat, aktív bejelentkezéseket töröl, hálózati eléréseket letilt, és törli a cache-elt belépéseket. Ezután az összes lemez tartalmát nullákkal írja felül, illetve Robocopyval írja felül a könyvtárak tartalmát. Emellett az fsutil programmal teljesen megtölti a szabad tárhelyet, hogy a helyreállítás gyakorlatilag lehetetlenné váljon. A környezet előkészítése után végül a script dekódolja és futtatja a Lotus kártevőt.

Lotus: teljes pusztítás alacsony szinten

A Lotus a lemezekhez alacsony szinten, közvetlen vezérlőparancsokkal fér hozzá: törli a Windows visszaállítási pontokat, felülírja és nullázza a fizikai szektorokat, törli az USN-naplót, a fájlokat pedig nemcsak törli, hanem tartalmukat is lenullázza, és véletlenszerű neveken próbálja őket eltüntetni. Mindezt többször is végrehajtja, hogy az utolsó visszaállítási opció is megsemmisüljön. A Kaspersky szerint a rendszeradminisztrátoroknak érdemes figyelniük a NETLOGON megosztások változásait, szokatlan diskpart-, robocopy- és fsutil-használatot, illetve gyanús fiókmódosításokat. Az egyetlen biztos védelem: rendszeres, offline mentések, amelyeket időről időre ellenőrizni is kell.

2026, adrienne, www.bleepingcomputer.com alapján