Lotus Wiper: Enerji Sektörüne Yönelik Kritik Bir Tehdit
Son dönemde, Venezuela’da enerji ve altyapı sektörüne yönelik saldırılarda kullanılan, daha önce belgelenmemiş bir veri silici keşfedildi. “Lotus Wiper” olarak adlandırılan bu yeni zararlı yazılımın, sistemleri işlevsiz hale getirerek büyük hasar verdiği bildirilmiştir.
Saldırı Nasıl Çalışıyor?
Lotus Wiper, iki adet toplu iş betiği aracılığıyla aktif hale getiriliyor ve saldırının yıkıcı aşamasını başlatıyor. Bu betikler:
- Ağ üzerinde işlemlerin başlatılmasını koordine ediyor.
- Sistem savunmalarını zayıflatıyor.
- Normal operasyonları bozuyor.
Saldırı gerçekleştirildiğinde, Lotus Wiper kurtarma mekanizmalarını siliyor, fiziksel sürücülerin içeriğini yazıyor ve etkilenen hacimlerdeki dosyaları sistematik bir şekilde silerek sistemi çalışmaz hale getiriyor.
Etkilenen Sistemler
Bu saldırı, özellikle Windows 10 sürüm 1803 öncesi işletim sistemlerini hedef alıyor. Saldırı zinciri, “Windows Interactive Services Detection (UI0Detect)” hizmetini durdurma girişimiyle başlıyor. Modern Windows sürümlerinde bu özellik kaldırılmıştır, bu da saldırganların daha eski sistemleri hedef aldığını göstermektedir.
Çözüm ve Korunma
Örgütlerin, aşağıdaki hususlarda proaktif önlemler alması önerilmektedir:
- NETLOGON paylaşım değişikliklerini izlemek.
- Olası kimlik bilgisi dökümü veya yetki yükseltme faaliyetlerini tespit etmek.
- fsutil , robocopy ve diskpart gibi yerel Windows yardımcı programlarını kullanarak gerçekleştirilmiş yıkıcı eylemleri izlemek.
Dikkat çekici bir nokta, Lotus Wiper‘ın finansal kazanç amacı taşımadığıdır. Saldırı, Venezuelalı bir makinadan kamuya açık bir platforma yüklendi ve bazı öngöremez savaş faaliyetleri öncesinde gerçekleşti.
Sonuç
Kuruluşlar, siber güvenlik açıklarını kapatmak, güncellemeleri yapmak ve şüpheli etkinlikleri izlemek için gerekli önlemleri hızla almalıdır. Güncellemelerinizi yapmayı, PORT’ları kapatmayı ve sistem güvenliğinizi artıracak diğer önlemleri almayı unutmayın.
