Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Eixugaparabrises Lotus

Eixugaparabrises Lotus

El Mezo el Programari maliciós
Traduir a:

Analistes de ciberseguretat han identificat un programari maliciós que esborra dades i que no estava documentat prèviament, ara conegut com a Lotus Wiper, implementat en atacs dirigits contra el sector energètic i de serveis públics de Veneçuela entre finals del 2025 i principis del 2026. Aquest programari maliciós està dissenyat per a una destrucció màxima, fent que els sistemes infectats siguin completament inoperables.

Execució d’atacs coordinats: desplegament en diverses etapes

L'atac es basa en dos scripts per lots que orquestren una operació acuradament organitzada. Aquests scripts sincronitzen les activitats a través de la xarxa, debiliten les defenses del sistema i interrompen les operacions normals abans d'iniciar la càrrega útil final. El seu paper inclou recuperar, desofuscar i executar el component wiper, garantint una transició sense problemes a la fase destructiva.

Destrucció sistemàtica: com funciona el Lotus Wiper

Un cop activat, Lotus Wiper executa un procés complet d'eradicació de dades que elimina tant la funcionalitat del sistema com les opcions de recuperació. Les seves capacitats destructives inclouen:

  • Eliminació dels mecanismes de recuperació, inclosos els punts de restauració
  • Sobreescriptura dels sectors de la unitat física amb dades posades a zero
  • Supressió de fitxers a tots els volums muntats
  • Esborrat dels números de seqüència d'actualització (USN) en diaris de volum

Aquestes accions, en conjunt, garanteixen que els sistemes afectats no es puguin restaurar o reconstruir per mitjans convencionals.

Indicadors d’intenció: Sense motivació financera

A diferència del ransomware, Lotus Wiper no conté missatges d'extorsió ni instruccions de pagament. Aquesta absència suggereix fermament que la campanya no està impulsada per objectius financers, sinó per sabotatge o motius geopolítics. Cal destacar que la mostra de programari maliciós es va penjar públicament a mitjans de desembre de 2025 des d'un sistema veneçolà, poc abans de l'activitat militar dels EUA el gener de 2026. Tot i que no s'ha confirmat cap vincle directe, el moment coincideix amb l'augment dels informes d'activitat cibernètica dirigida al mateix sector, cosa que indica una operació molt específica.

Sistemes antics dirigits a l’explotació d’entorns obsolets

La cadena d'atac comença amb un script per lots que inicia un procés de diverses etapes. Una de les seves primeres accions és intentar desactivar el servei de detecció de serveis interactius de Windows (UI0Detect). Aquest servei, eliminat a les versions modernes de Windows després de la versió 1803 de Windows 10, indica que el programari maliciós està dissenyat específicament per atacar sistemes operatius més antics.

L'script també comprova la presència d'un recurs compartit NETLOGON i recupera un fitxer XML remot. Compara aquest fitxer amb una versió emmagatzemada localment en directoris com ara C:\lotus o %SystemDrive%\lotus. Aquest comportament probablement determina si el sistema forma part d'un domini de l'Active Directory. Si el fitxer remot no està disponible, l'script finalitza; en cas contrari, continua després d'introduir potencialment un retard aleatori de fins a 20 minuts per reintentar la connectivitat.

Preparació de l’entorn: desactivació i interrupció de sistemes

El segon script per lots prepara el sistema compromès per a la destrucció debilitant sistemàticament el seu estat operatiu. Les seves accions inclouen:

  • Enumeració de comptes d'usuari locals i desactivació de les credencials emmagatzemades a la memòria cau
  • Tancament de sessions d'usuari actives
  • Desactivació de les interfícies de xarxa
  • Executar l'ordre diskpart clean all per esborrar les unitats lògiques

A més, aprofita les utilitats natives de Windows com ara robocopy per sobreescriure o suprimir fitxers i fsutil per crear fitxers grans que consumeixen tot l'espai de disc disponible, cosa que impedeix eficaçment els esforços de recuperació.

Execució final de la càrrega útil: danys irreversibles

Després de la preparació, es desplega la càrrega útil de Lotus Wiper. Completa el procés de destrucció eliminant els punts de restauració, sobreescrivint els sectors físics, esborrant els registres del diari i eliminant tots els fitxers del sistema dels volums muntats. En aquesta etapa, la recuperació esdevé pràcticament impossible sense còpies de seguretat externes.

Recomanacions defensives: seguiment i mitigació

Les organitzacions, en particular les que treballen en sectors d'infraestructures crítiques, haurien d'adoptar estratègies proactives de monitorització i detecció. Les principals àrees d'atenció inclouen:

Supervisió dels canvis en els recursos compartits de NETLOGON
Detecció d'intents de dumping de credencials o d'escalada de privilegis
Seguiment de l'ús inusual d'eines natives com ara fsutil, robocopy i diskpart

Perspectiva estratègica: evidència de compromisos previs

La presència de funcionalitats adaptades a entorns Windows obsolets suggereix un reconeixement previ i un accés a llarg termini. És probable que els atacants tinguessin un coneixement detallat de la infraestructura objectiu i que hagin compromès els entorns de domini molt abans d'iniciar la fase destructiva.

Tendència

Confirmar una nova actualització de seguretat i...

Phishing, Correu brossa
Els correus electrònics inesperats que exigeixen una acció urgent sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint disfressen els missatges maliciosos de notificacions legítimes per explotar la confiança i provocar pànic. És essencial reconèixer que les estafes com els correus electrònics de "Confirma la nova actualització de seguretat i privadesa" no estan associades a cap...

Més vist

Carregant...