Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Limpador de para-brisa Lotus

Limpador de para-brisa Lotus

Por Mezo em Malware
Traduzir Para:

Analistas de cibersegurança identificaram um malware de apagamento de dados até então desconhecido, agora conhecido como Lotus Wiper, implantado em ataques direcionados contra o setor de energia e serviços públicos da Venezuela entre o final de 2025 e o início de 2026. Este malware foi projetado para causar destruição máxima, tornando os sistemas infectados completamente inoperáveis.

Execução Coordenada de Ataques: Implantação em Múltiplas Etapas

O ataque se baseia em dois scripts em lote que orquestram uma operação cuidadosamente planejada. Esses scripts sincronizam atividades em toda a rede, enfraquecem as defesas do sistema e interrompem as operações normais antes de iniciar a carga útil final. Sua função inclui recuperar, desofuscar e executar o componente de limpeza de dados, garantindo uma transição perfeita para a fase destrutiva.

Destruição Sistemática: Como o Limpador de Para-brisa Lotus Funciona

Uma vez ativado, o Lotus Wiper executa um processo abrangente de eliminação de dados que desativa tanto a funcionalidade do sistema quanto as opções de recuperação. Suas capacidades destrutivas incluem:

  • Remoção de mecanismos de recuperação, incluindo pontos de restauração.
  • Sobrescrever setores físicos do disco rígido com dados zerados.
  • Exclusão de arquivos em todos os volumes montados
  • Limpeza dos Números de Sequência de Atualização (USN) em periódicos de volume

Essas ações, em conjunto, garantem que os sistemas afetados não possam ser restaurados ou reconstruídos por meios convencionais.

Indicadores de intenção: Não motivado por razões financeiras

Ao contrário de ransomware, o Lotus Wiper não contém mensagens de extorsão ou instruções de pagamento. Essa ausência sugere fortemente que a campanha não é motivada por objetivos financeiros, mas sim por sabotagem ou motivações geopolíticas. Notavelmente, a amostra do malware foi publicada em meados de dezembro de 2025 a partir de um sistema venezuelano, pouco antes da atividade militar dos EUA em janeiro de 2026. Embora nenhuma ligação direta tenha sido confirmada, o momento coincide com o aumento de relatos de atividades cibernéticas direcionadas ao mesmo setor, indicando uma operação altamente focada.

Visando sistemas legados: explorando ambientes obsoletos

A cadeia de ataque começa com um script em lote que inicia um processo de várias etapas. Uma de suas primeiras ações é tentar desativar o serviço de Detecção de Serviços Interativos do Windows (UI0Detect). Esse serviço, removido em versões modernas do Windows após a versão 1803 do Windows 10, indica que o malware foi projetado especificamente para atacar sistemas operacionais mais antigos.

O script também verifica a presença de um compartilhamento NETLOGON e recupera um arquivo XML remoto. Ele compara esse arquivo com uma versão armazenada localmente em diretórios como C:\lotus ou %SystemDrive%\lotus. Esse comportamento provavelmente determina se o sistema faz parte de um domínio do Active Directory. Se o arquivo remoto não estiver disponível, o script é encerrado; caso contrário, ele prossegue após uma possível pausa aleatória de até 20 minutos para tentar novamente a conexão.

Preparação do ambiente: desativação e interrupção de sistemas

O segundo script em lote prepara o sistema comprometido para destruição, enfraquecendo sistematicamente seu estado operacional. Suas ações incluem:

  • Enumerar contas de usuário locais e desativar credenciais em cache.
  • Encerrando sessões de usuário ativas
  • Desativar interfaces de rede
  • Executando o comando diskpart clean all para apagar unidades lógicas

Além disso, ele utiliza utilitários nativos do Windows, como o robocopy, para sobrescrever ou excluir arquivos, e o fsutil, para criar arquivos grandes que consomem todo o espaço disponível em disco, impedindo efetivamente qualquer tentativa de recuperação.

Execução da Carga Final: Danos Irreversíveis

Após a preparação, o payload do Lotus Wiper é implantado. Ele completa o processo de destruição excluindo pontos de restauração, sobrescrevendo setores físicos, limpando registros do diário e removendo todos os arquivos do sistema em volumes montados. Nessa etapa, a recuperação torna-se praticamente impossível sem backups externos.

Recomendações defensivas: monitoramento e mitigação

As organizações, especialmente aquelas em setores de infraestrutura crítica, devem adotar estratégias proativas de monitoramento e detecção. As principais áreas de foco incluem:

Monitoramento de alterações nos compartilhamentos da NETLOGON
Detecção de tentativas de extração de credenciais ou escalonamento de privilégios
Rastreamento do uso incomum de ferramentas nativas como fsutil, robocopy e diskpart.

Análise Estratégica: Evidências de Compromisso Prévio

A presença de funcionalidades adaptadas a ambientes Windows desatualizados sugere reconhecimento prévio e acesso prolongado. Os atacantes provavelmente possuíam conhecimento detalhado da infraestrutura visada e podem ter comprometido os ambientes de domínio muito antes de iniciar a fase destrutiva.

Tendendo

Mais visto

Carregando...