Pesquisadores da Kaspersky identificaram um novo data wiper denominado Lotus sendo utilizado em ataques direcionados contra organizações do setor de energia e utilidades na Venezuela. O malware, compilado no final de setembro de 2025 e detectado em operação em meados de dezembro, emprega uma cadeia de execução multi-estágio para destruição completa de dados em sistemas comprometidos.
Arquitetura técnica de destruição em múltiplas camadas
O Lotus Wiper opera através de uma sequência coordenada que combina scripts batch preparatórios com um payload final de baixo nível. A execução inicia com o script OhSyncNow.bat, que desabilita o serviço UI0Detect e verifica a presença de um arquivo XML no compartilhamento NETLOGON como gatilho de coordenação. Quando as condições são atendidas, o script notesreg.bat é acionado, enumerando usuários e alterando configurações críticas do sistema.
O componente principal do malware está disfarçado como nstats.exe, mascarado para parecer um executável legítimo do HCL Domino. Este descriptografa o arquivo nevent.exe (criptografado com XOR) para gerar ndesign.exe, o wiper propriamente dito, que carrega dinamicamente a DLL srclient.dll para executar as operações destrutivas.
Mecanismos de destruição e interação com hardware
A destruição ocorre em três níveis distintos. Primeiro, o malware utiliza comandos nativos do Windows como diskpart clean all, robocopy e fsutil para operações de limpeza inicial. Em seguida, interage com a API do Sistema de Restauração do Windows através de SRSetRestorePoint e SRRemoveRestorePoint para eliminar pontos de restauração do sistema.
O nível mais profundo de destruição envolve manipulação direta de setores físicos. O malware utiliza chamadas IOCTL (Input/Output Control) para interagir diretamente com discos físicos, obtendo a geometria dos discos via IOCTL_DISK_GET_DRIVE_GEOMETRY_EX e sobrescrevendo todos os setores com zeros. Adicionalmente, emprega FSCTL_SET_ZERO_DATA para zerar o conteúdo de arquivos antes da renomeação e deleção, garantindo impossibilidade de recuperação.
Para arquivos que não podem ser deletados imediatamente, o Lotus utiliza MoveFileExW com flag específica para atrasar a deleção até a próxima reinicialização do sistema. As funções FindFirstVolumeW e FindNextVolumeW são empregadas para enumerar sistematicamente todos os volumes disponíveis, enquanto DeleteFileW é executado em massa para remoção de arquivos.
Indicadores de comprometimento e comportamentos suspeitos
Administradores de sistema devem monitorar a presença dos arquivos OhSyncNow.bat, notesreg.bat, nstats.exe, nevent.exe, ndesign.exe e srclient.dll. Comportamentos suspeitos incluem a desabilitação do serviço UI0Detect, alterações massivas de senhas de contas (com exclusão específica de contas do departamento de TI), desabilitação de interfaces de rede e limpeza de logs USN journal.
O uso anômalo de comandos como diskpart clean all e múltiplos ciclos de zeragem de disco também constituem indicadores críticos. É importante notar que o malware não explora vulnerabilidades específicas (CVEs), mas utiliza funcionalidades legítimas do sistema operacional Windows para suas operações destrutivas.
Contexto geopolítico e cronologia do ataque
O Lotus Wiper foi carregado de uma máquina venezuelana para plataforma pública em meados de dezembro de 2025, período que coincide com um ataque cibernético reportado contra a PDVSA (Petróleos de Venezuela), empresa petrolífera estatal do país. A PDVSA atribuiu publicamente o ataque aos Estados Unidos, embora não existam evidências técnicas que corroborem esta alegação.
A campanha ocorre em um contexto de tensões geopolíticas elevadas na região, culminando com a captura de Nicolás Maduro em 3 de janeiro. Embora os atacantes permaneçam não identificados, pesquisadores especulam sobre possíveis motivações geopolíticas dada a escolha específica de alvos no setor de infraestrutura crítica venezuelana.
Recomendações para mitigação
Organizações do setor de energia e infraestrutura crítica devem implementar monitoramento aprimorado para os indicadores de comprometimento identificados. A segregação de redes, backups offline regulares e planos de recuperação de desastres tornam-se essenciais diante da natureza destrutiva do Lotus Wiper. A ausência de um vetor de acesso inicial documentado nas análises disponíveis reforça a necessidade de vigilância ampla em todos os possíveis pontos de entrada.