Lotus Wiper: Malware تخريبي جديد كيستهدف قطاع الطاقة فـ ڤينيزويلا

خلاصة الموضوع (TL;DR)

بانت واحد الـ malware جديدة وماتوثقاش من قبل سميتها Lotus Wiper، كاتستهدف قطاع الطاقة والمرافق الحيوية فـ ڤينيزويلا. الباحثين ديما "كاسبيرسكي" (Kaspersky) هما اللي كتاشفوها، وهاد الـ malware مصممة باش تمحي البيانات وتخرب السيستيم ماشي باش تطلب الفدية، وكاتخدم بواحد السلسلة د الهجمات معقدة باش ترد الأجهزة والأنظمة خارجة على الخدمة تماماً.

---

نظرة عامة على الهجوم

الباحثين فـ الأمن السيبراني كتاشفوا "wiper" (ماسح بيانات) جديد سميتو Lotus Wiper، اللي كان طرف فـ بزاف د الحملات التخريبية ضد البنية التحتية الحساسة فـ ڤينيزويلا. التقارير كتقول باللي هاد الهجمات بدات فـ اللخر د 2025 واستامرات حتى لبداية 2026.

على عكس برامج الفدية (Ransomware)، هاد Lotus Wiper ما فيه لا طلبات د لفلوس لا تعليمات د الخلاص. الهدف الوحيد ديالو هو يوقف الخدمات بمرة عن طريق تدمير البيانات ووسائل استرجاع السيستيم.

الخط الزمني وطبيعة الاستهداف

الأدلة كاتبين باللي الهجوم كان موجه بدقة ومخطط ليه مزيان:

• البرمجة (Compilation): العينة ديال هاد الـ malware تبرمجت فـ اللخر د شتنبر 2025.
• الاكتشاف اللول: واحد الـ artifact تلونصا فـ منصة عمومية من ماكينة فـ ڤينيزويلا فـ منتصف دجنبر 2025.
• السياق: هاد النشاط طرا سيمانات قليلة قبل التدخل العسكري الأمريكي فـ المنطقة فـ بداية يناير 2026. واخا ماكاينش دليل قاطع كيربط بين هاد جوج أحداث، "كاسبيرسكي" لاحظات باللي هاد الـ wiper بان فاش كانت هجمات Malware كتيرة كاتستهدف نفس المنطقة ونفس القطاع.

سلسلة الهجوم: عملية متعددة المراحل

الخدمة ديال Lotus Wiper ماشي غير خطوة وحدة، بل كايعتامد على جوج ديال الـ batch scripts متطورين باش يوجدوا الطريق ويكبّروا الخسائر.

المرحلة 1: تحضير البيئة

الـ batch script اللول كيبدا السلسلة بإضعاف الدفاعات ديال السيستيم. الملاحظ هو أن الـ script كيحاول يوقف خدمة Windows Interactive Services Detection (UI0Detect). وبما أن هاد الخاصية تحيدات فـ النسخ ديال Windows اللي جات مورا 10 (version 1803)، الباحثين كيظنوا أن المهاجمين استهدفوا بيئة عمل خدامة بأنظمة تشغيل قديمة.

الـ script كيدير حتى:

• التحقق من الـ NETLOGON shares باش يعرف واش الماكينة داخلة فـ Domain ديال Active Directory.
• كيدير تعطيلات عشوائية (كتوصل لـ 20 دقيقة) إلا مالقاش الـ shares، غالباً باش يهرب من الـ detection.

المرحلة 2: التنسيق التخريبي

الـ batch script الثاني كيتكلف بـ "الخدمة الثقيلة" باش يهرس السيستيم قبل ما يتلونصا الـ payload (البرنامج التخريبي) اللخر. الإجراءات كتشمل:

• تقييد حسابات المستخدمين المحليين (Local users) وقطع الجلسات (sessions) اللي خدامة.
• توقيف الـ network interfaces باش يعزل الماكينة على العالم.
• تخديم الأمر diskpart clean all باش يمسح الـ logical drives تماماً.
• استعمال أداة robocopy باش يكتب فوق الملفات أو يمسحهم.
• استعمال fsutil باش يصاوب ملفات عملاقة كتعمر الـ disk كامل، باش يقطع الطريق على أي محاولة لاسترجاع البيانات.

الـ Payload اللخر: Lotus Wiper

من بعد ما كتوجد الطريق، كيتم إطلاق ملف Lotus Wiper التنفيذي باش يكمل التخريب. المهام الأساسية ديالو هي:

1. مسح نقاط الاستعادة (Restore Points): باش ما يخليش السيستيم يرجع كيف كان.
2. الكتابة فوق الـ Physical Sectors: كيكتب أصفار فوق الـ sectors الحقيقية ديال الهارد ديسك.
3. تمسحي الـ Journals: كيمسح الـ USN من الـ volume journals.
4. مسح شامل للسيستيم: كيمسح أي ملف كاين فـ أي "Volume" راكب فـ الجهاز.

رؤية الباحثين

الباحثين فـ "كاسبيرسكي" كيرجحوا باللي المهاجمين كان عندهم وصول طويل الأمد للشبكات المستهدفة. وقالت الشركة: "غالباً المهاجمين كانت عندهم دراية بالبيئة واختارقوا الـ domain شحال هادي قبل ما يبدا الهجوم"، وهادشي استنتجوه من الاستهداف الدقيق لخصائص قديمة فـ Windows.

توصيات للدفاع

المؤسسات — وخصوصاً اللي فـ قطاعات المرافق والطاقة — مأمورين باش يراقبوا هاد التحركات ديال "Living-off-the-land" (LotL):

• تبديلات فـ الـ NETLOGON shares.
• استعمال مشبوه لأدوات Windows الأصلية بحال fsutil و robocopy و diskpart.
• أي دليل على سرقة الـ credentials (credential dumping) أو محاولات تعلية الامتيازات (privilege escalation).

---

المصدر

العنوان: Lotus Wiper Malware Targets Venezuelan Energy Systems in Destructive Attack
الرابط: https://thehackernews.com/2026/04/lotus-wiper-malware-targets-venezuelan.html