Lotus Wiper uderza w sektor energetyczny Wenezueli: destrukcyjny malware wymierzony w infrastrukturę krytyczną - Security Bez Tabu

Lotus Wiper uderza w sektor energetyczny Wenezueli: destrukcyjny malware wymierzony w infrastrukturę krytyczną

Cybersecurity news

Wprowadzenie do problemu / definicja

Lotus Wiper to destrukcyjne złośliwe oprogramowanie typu wiper, którego głównym celem jest trwałe niszczenie danych oraz zakłócanie działania systemów, a nie wymuszenie okupu. Najnowsze ustalenia wskazują, że narzędzie zostało wykorzystane w ukierunkowanej kampanii przeciwko organizacjom z sektora energetycznego i utilities w Wenezueli, co wpisuje się w rosnące zagrożenie dla infrastruktury krytycznej.

W przeciwieństwie do klasycznych kampanii ransomware, ataki z użyciem wiperów koncentrują się na sabotażu operacyjnym. W praktyce oznacza to, że ofiara może utracić dostęp do systemów, danych i usług bez możliwości szybkiego odtworzenia środowiska, nawet jeśli nie dochodzi do żadnych żądań finansowych.

W skrócie

  • Lotus Wiper został powiązany z kampanią wymierzoną w organizacje energetyczne w Wenezueli pod koniec 2025 roku.
  • Atak nie zawierał mechanizmów ransomware ani żądań okupu, co wskazuje na motywację destrukcyjną.
  • Łańcuch ataku obejmował użycie skryptów wsadowych, zmianę haseł, dezaktywację kont, wylogowywanie użytkowników i wyłączanie interfejsów sieciowych.
  • Operatorzy szeroko wykorzystywali techniki living-off-the-land, nadużywając natywnych narzędzi Windows.
  • Końcowa faza prowadziła do nadpisywania danych, usuwania plików i utrudniania odzyskiwania systemów.

Kontekst / historia

Wipery od lat są wykorzystywane w operacjach wymierzonych w państwa, sektor publiczny oraz infrastrukturę krytyczną. Ich znaczenie rośnie szczególnie tam, gdzie skutki incydentu mogą wykraczać poza obszar IT i wpływać na procesy przemysłowe, logistykę lub świadczenie usług o znaczeniu strategicznym.

W analizowanym przypadku próbki i artefakty powiązane z Lotus Wiper zostały odnotowane w grudniu 2025 roku. Według badaczy końcowy komponent binarny miał zostać skompilowany we wrześniu 2025 roku, co może wskazywać, że operacja była przygotowywana z dużym wyprzedzeniem. Dodatkowego znaczenia sprawie nadaje zbieżność czasowa z publicznymi doniesieniami o zakłóceniach w wenezuelskim sektorze naftowym.

Choć pełna atrybucja kampanii nie została jednoznacznie potwierdzona, zestaw obserwowanych technik sugeruje, że atak nie miał charakteru przypadkowego. Wszystko wskazuje na precyzyjny dobór celu, rozpoznanie środowiska i przygotowanie mechanizmów umożliwiających skoordynowaną destrukcję.

Analiza techniczna

Łańcuch ataku opierał się na kilku następujących po sobie etapach. W początkowej fazie wykorzystywano dwa pliki BAT, które odpowiadały za przygotowanie środowiska i synchronizację działań w sieci domenowej. Jeden ze skryptów tworzył katalog roboczy, podejmował próby zatrzymania określonych mechanizmów systemowych i sprawdzał obecność pliku kontrolnego w udziale NETLOGON, pełniącym rolę domenowego wyzwalacza.

Następny etap obejmował działania destabilizujące środowisko jeszcze przed uruchomieniem właściwego wipera. Skrypt wykonywał enumerację lokalnych kont, zmieniał hasła, dezaktywował wybranych użytkowników, wylogowywał aktywne sesje oraz wyłączał interfejsy sieciowe. Z perspektywy obrony była to faza szczególnie niebezpieczna, ponieważ ograniczała możliwości reakcji zespołów IT i utrudniała zdalne przeciwdziałanie incydentowi.

Na uwagę zasługuje szerokie użycie narzędzi natywnych systemu Windows. Operatorzy korzystali z poleceń związanych z modyfikacją rejestru, zarządzaniem sesjami, obsługą sieci, czyszczeniem woluminów i operacjami na plikach. Takie podejście living-off-the-land pozwala ukrywać aktywność w legalnym ruchu administracyjnym, co znacząco utrudnia wykrycie oparte wyłącznie na sygnaturach.

Faza destrukcyjna miała charakter wielowarstwowy. Atakujący nadpisywali dane na woluminach, kopiowali binaria systemowe do własnego katalogu roboczego, a następnie wykorzystywali mechanizmy lustrzanego kopiowania do nadpisywania lub usuwania zawartości folderów. Dodatkowo tworzono plik zajmujący niemal całą wolną przestrzeń dysku, co mogło jeszcze bardziej ograniczać szanse na odzyskanie danych i przywrócenie systemów do działania.

Sam Lotus Wiper był odszyfrowywany i uruchamiany przez pomocniczy plik wykonywalny podszywający się pod legalny komponent środowiska HCL Domino. Po uruchomieniu malware aktywował wymagane uprawnienia, usuwał punkty przywracania systemu, nadpisywał fizyczne dyski zerami, czyścił dzienniki zmian USN oraz wyszukiwał pliki przeznaczone do usunięcia. Proces kasowania obejmował wcześniejsze zerowanie zawartości plików, zmianę nazw na losowe oraz usuwanie natychmiastowe lub odroczone do czasu restartu systemu.

Całość wskazuje na wcześniejszy kompromis środowiska ofiary. Taki scenariusz wymagał bowiem nie tylko dostarczenia komponentów na wiele hostów, ale również dobrej znajomości struktury domeny, udziałów sieciowych oraz specyfiki używanych systemów. To przemawia za planowaną operacją, a nie za oportunistycznym incydentem.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją ataku z użyciem Lotus Wiper jest trwała utrata danych i unieruchomienie systemów. W sektorze energetycznym może to oznaczać nie tylko problemy po stronie IT, lecz także zakłócenia procesów operacyjnych, logistyki, produkcji i utrzymania usług krytycznych.

Istotnym zagrożeniem jest również połączenie długiego czasu obecności napastnika w środowisku z wykorzystaniem legalnych narzędzi administracyjnych. Taka kombinacja utrudnia detekcję, wydłuża czas reakcji i zwiększa prawdopodobieństwo, że organizacja zorientuje się o incydencie dopiero w momencie rozpoczęcia fazy niszczącej.

Ryzyko rośnie szczególnie w środowiskach, w których sieci IT i OT nie są odpowiednio segmentowane, a kopie zapasowe pozostają dostępne z poziomu skompromitowanej domeny. W takich warunkach skutki ataku mogą szybko rozszerzyć się poza systemy biurowe i wpłynąć na elementy wspierające procesy przemysłowe.

Rekomendacje

Organizacje działające w sektorach energetycznym, przemysłowym i utilities powinny traktować kampanię z użyciem Lotus Wiper jako ważny scenariusz odniesienia dla budowy odporności operacyjnej. Kluczowe znaczenie ma segmentacja środowisk IT, OT i ICS oraz ograniczenie ruchu administracyjnego pomiędzy strefami o różnym poziomie krytyczności.

  • Monitorowanie udziałów domenowych, zwłaszcza NETLOGON, pod kątem nieautoryzowanych plików i zmian pełniących rolę wyzwalaczy.
  • Wykrywanie nietypowego użycia narzędzi takich jak diskpart, robocopy, fsutil, netsh, reg, sc czy wmic, szczególnie gdy pojawiają się masowo na wielu hostach.
  • Ograniczenie liczby kont uprzywilejowanych, wdrożenie tieringu administracyjnego oraz alertowanie przy zmianach haseł, dezaktywacji kont i masowym wylogowywaniu sesji.
  • Wdrożenie kopii zapasowych odpornych na modyfikację i usunięcie, odseparowanych logicznie lub fizycznie od domeny produkcyjnej.
  • Regularne testowanie procedur odtwarzania oraz ćwiczenie scenariuszy reagowania na incydent typu wiper.
  • Budowa detekcji behawioralnej opartej na korelacji zdarzeń, a nie wyłącznie na znanych wskaźnikach IOC.

W praktyce obrona przed takim zagrożeniem wymaga wcześniejszej widoczności w środowisku, spójnej telemetrii i przygotowania operacyjnego. Gdy rozpoczyna się właściwa faza niszczenia danych, czas na skuteczną reakcję jest zwykle bardzo ograniczony.

Podsumowanie

Lotus Wiper pokazuje, że współczesne kampanie przeciwko infrastrukturze krytycznej coraz częściej mają charakter czysto destrukcyjny. W tym modelu celem nie jest finansowy zysk, lecz trwałe zakłócenie działania organizacji poprzez niszczenie danych, blokowanie dostępu i paraliż operacyjny.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest jasny: skuteczna ochrona przed wiperem wymaga segmentacji, kontroli uprawnień, monitorowania aktywności administracyjnej oraz odpornych mechanizmów odtworzeniowych. Bez tych elementów nawet pojedyncza kampania może wywołać długotrwałe skutki biznesowe i operacyjne.

Źródła

  1. Dark Reading – Lotus Wiper Attack Targets Venezuelan Energy Firms, Utilities
    https://www.darkreading.com/cyber-risk/lotus-wiper-attack-targeted-venezuelan-energy-firms-utilities
  2. Securelist – Lotus Wiper: a new threat targeting the energy and utilities sector
    https://securelist.com/tr/lotus-wiper/119472/
  3. Microsoft Learn – System Restore Functions
    https://learn.microsoft.com/en-us/windows/win32/sr/system-restore-functions
  4. Microsoft Learn – Change Journals (USN)
    https://learn.microsoft.com/en-us/windows/win32/fileio/change-journals
  5. Reuters – reporting on disruption affecting Venezuelan oil operations in December 2025
    https://www.reuters.com/