Pesquisadores de cibersegurança descobriram um data wiper até então não documentado, usado em ataques contra a Venezuela no fim de 2025 e início de 2026. Batizado de Lotus Wiper, o novo file wiper foi empregado em uma campanha destrutiva que mirou o setor de energia e utilities no país, segundo a Kaspersky.
Dois scripts em lote (batch scripts) iniciam a fase destrutiva do ataque e preparam o ambiente para a execução da carga final (payload) do wiper, coordenando a operação na rede, enfraquecendo as defesas e interrompendo atividades antes de localizar, desofuscar e executar o malware. Após a execução, o wiper remove mecanismos de recuperação, sobrescreve dados em discos físicos e apaga arquivos de forma sistemática em todos os volumes, deixando os sistemas inoperantes. O artefato não apresenta instruções de extorsão ou pagamento, indicando ausência de motivação financeira.
A amostra foi enviada para uma plataforma pública em dezembro de 2025 a partir de uma máquina na Venezuela, semanas antes de ações militares dos Estados Unidos no país em janeiro de 2026. Embora não haja confirmação de relação direta, a Kaspersky destaca que o envio ocorreu em um período de aumento de atividades maliciosas direcionadas ao mesmo setor e região, sugerindo um ataque altamente direcionado.
A cadeia de ataque começa com um script em lote que executa múltiplas etapas para liberar o payload. Ele tenta interromper o serviço Windows Interactive Services Detection (UI0Detect), utilizado para alertar interações gráficas de serviços em segundo plano, recurso removido em versões recentes do Windows. Isso indica que o ataque foi projetado para ambientes com versões antigas do sistema. Em seguida, o script verifica a existência de um compartilhamento NETLOGON e acessa um arquivo XML remoto, além de checar a presença de arquivos locais em diretórios como C:\lotus ou %SystemDrive%\lotus, possivelmente para identificar se a máquina pertence a um domínio Active Directory. Caso o compartilhamento não esteja acessível, o script aguarda até 20 minutos antes de tentar novamente.
Um segundo script em lote executa ações adicionais, incluindo enumeração de usuários locais, desativação de logins em cache, encerramento de sessões, desligamento de interfaces de rede e uso do comando diskpart clean all para apagar discos. Também utiliza ferramentas nativas como robocopy e fsutil para sobrescrever dados, preencher o armazenamento e dificultar a recuperação.
Após a preparação do ambiente, o Lotus Wiper é executado para excluir pontos de restauração, sobrescrever setores físicos com zeros, limpar registros USN dos volumes e apagar todos os arquivos do sistema. Organizações são orientadas a monitorar alterações no compartilhamento NETLOGON, atividades suspeitas como credential dumping e elevação de privilégio, além do uso incomum de utilitários nativos do Windows. Segundo a Kaspersky, a presença de suporte a versões antigas do sistema indica que os atacantes possuíam conhecimento prévio do ambiente e possivelmente comprometeram a rede muito antes da execução do ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...