Lotus Wiper uderza w sektor energii i utilities w Wenezueli: nowy malware do trwałego niszczenia danych

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Lotus Wiper to nowo opisany malware destrukcyjny typu data wiper, którego głównym celem jest trwałe usunięcie danych i uniemożliwienie szybkiego odtworzenia środowiska. W przeciwieństwie do ransomware nie służy do wymuszenia okupu, lecz do sabotażu operacyjnego poprzez zniszczenie systemów, woluminów i mechanizmów odzyskiwania.

Zagrożenie zostało powiązane z ukierunkowanymi atakami na firmy z sektora energetycznego i użyteczności publicznej w Wenezueli. Charakter kampanii sugeruje wcześniejsze rozpoznanie środowiska, przygotowanie działań destabilizujących oraz wykorzystanie zarówno natywnych narzędzi Windows, jak i dedykowanego ładunku końcowego do niszczenia danych na poziomie fizycznych dysków.

W skrócie

Lotus Wiper został użyty przeciwko organizacjom z sektora energii i utilities.
Atak poprzedzają skrypty wsadowe przygotowujące środowisko do destrukcji.
Napastnicy wyłączają usługi, blokują konta, rozłączają sesje i dezaktywują interfejsy sieciowe.
W kampanii wykorzystywane są legalne narzędzia administracyjne, takie jak diskpart, robocopy i fsutil.
Końcowy moduł malware usuwa punkty przywracania, czyści dzienniki USN i nadpisuje sektory dysków zerami.
To operacja sabotażowa, a nie klasyczny incydent ransomware.

Kontekst / historia

Opisane działania wpisują się w napięty kontekst bezpieczeństwa w regionie Karaibów na przełomie 2025 i 2026 roku. Analiza dostępnych artefaktów wskazuje, że próbki powiązane z kampanią zostały udostępnione publicznie w połowie grudnia 2025 roku z maszyny zlokalizowanej w Wenezueli, co sugeruje, że operacja była przygotowywana z wyprzedzeniem.

Badacze zwracają uwagę, że Lotus Wiper nie wygląda na prosty wariant znanych rodzin ransomware. To raczej wyspecjalizowany zestaw narzędzi przeznaczony do trwałej destrukcji środowiska, z naciskiem na utrudnienie odzyskiwania systemów i analizy powłamaniowej. Zbieżność czasowa z wcześniejszymi doniesieniami o incydentach zakłócających działalność sektora naftowego w Wenezueli wzmacnia ocenę, że mamy do czynienia z cyberoperacją o charakterze sabotażowym.

Analiza techniczna

Łańcuch ataku rozpoczyna się od dwóch skryptów BAT pełniących funkcję przygotowawczą. Pierwszy z nich próbuje wyłączyć usługę UI0Detect, a następnie sprawdza obecność udziału NETLOGON oraz specjalnego pliku XML, który może działać jako znacznik lub wyzwalacz dla kolejnych etapów ataku. Taki mechanizm pozwala zsynchronizować działania w środowisku domenowym i uruchamiać destrukcję na wielu hostach w tym samym czasie.

Drugi skrypt odpowiada za destabilizację środowiska operacyjnego. Enumeruje lokalne konta użytkowników, zmienia ich hasła na losowe ciągi i dezaktywuje je. Dodatkowo modyfikuje ustawienia logowania buforowanego, wylogowuje aktywne sesje oraz wyłącza interfejsy sieciowe. W praktyce oznacza to równoczesne utrudnienie reakcji administratorów i ograniczenie możliwości zdalnego ratowania systemów.

Na dalszym etapie napastnicy wykorzystują legalne narzędzia systemowe. Polecenie diskpart clean all służy do nadpisywania zawartości woluminów zerami. Robocopy może zostać użyte do rekursywnego nadpisywania lub lustrzanego usuwania danych z katalogów, natomiast fsutil tworzy plik wypełniający wolne miejsce na dysku, co dodatkowo obniża szanse na odzyskanie skasowanych informacji. To klasyczny przykład techniki living off the land, czyli użycia natywnych komponentów systemu do realizacji złośliwych celów.

Właściwy ładunek Lotus Wiper działa już na znacznie głębszym poziomie niż zwykłe kasowanie plików. Malware uzyskuje szerokie uprawnienia administracyjne, usuwa punkty przywracania systemu, pobiera geometrię fizycznych dysków z wykorzystaniem wywołań IOCTL i nadpisuje sektory zerami. Jednocześnie czyści dziennik USN, co utrudnia późniejszą analizę zmian w systemie plików oraz rekonstrukcję przebiegu incydentu.

Mechanizm usuwania plików został zaprojektowany z myślą o maksymalnej skuteczności. Zawartość plików jest zerowana, nazwy losowo modyfikowane, a następnie pliki są kasowane. Jeżeli plik pozostaje zablokowany, malware planuje jego usunięcie przy następnym restarcie systemu. Wielokrotne cykle czyszczenia woluminów i usuwania punktów przywracania zwiększają prawdopodobieństwo trwałego unieruchomienia infrastruktury.

Na uwagę zasługuje także maskowanie komponentów pod nazwy przypominające legalne elementy środowiska HCL Domino. Taki zabieg może ograniczać podejrzliwość operatorów i administratorów, a jednocześnie sugeruje wcześniejsze rozpoznanie środowiska ofiary oraz dostosowanie artefaktów do konkretnego celu.

Konsekwencje / ryzyko

Ryzyko związane z Lotus Wiper należy ocenić jako krytyczne, szczególnie w środowiskach energetycznych, przemysłowych i użyteczności publicznej. Skutkiem ataku może być całkowita utrata danych operacyjnych, niedostępność systemów, zakłócenie świadczenia usług oraz bardzo długi proces odbudowy infrastruktury.

W odróżnieniu od ransomware organizacja nie ma tu do czynienia z modelem negocjacyjnym. Celem nie jest odzyskanie pieniędzy od ofiary, ale trwałe uszkodzenie jej zdolności operacyjnych. Dodatkowo wcześniejsze wyłączanie kont, wylogowywanie sesji i dezaktywacja interfejsów sieciowych mogą sparaliżować działania zespołów IT i IR dokładnie w momencie rozpoczęcia właściwej destrukcji.

Usuwanie punktów przywracania, nadpisywanie danych, wyczerpywanie wolnego miejsca oraz czyszczenie USN journal znacząco utrudniają odzyskiwanie danych i działania śledcze. Sama obecność takich wskaźników powinna być traktowana jako sygnał szerszego kompromisu środowiska, obejmującego wcześniejszy dostęp, eskalację uprawnień i przygotowanie do sabotażu.

Rekomendacje

Organizacje powinny monitorować środowiska domenowe pod kątem nieautoryzowanych zmian w udziałach NETLOGON oraz innych współdzielonych zasobach, które mogą zostać wykorzystane do zsynchronizowanego uruchomienia destrukcyjnego malware. Warto wdrożyć alertowanie dla nietypowych operacji na plikach XML i skryptach BAT pojawiających się w udziałach administracyjnych.

Kluczowe jest również profilowanie i wykrywanie nietypowego użycia narzędzi systemowych, takich jak diskpart, robocopy, fsutil, netsh, reg, qwinsta, logoff czy sc.exe. W środowiskach korporacyjnych i OT ich masowe lub skorelowane uruchamianie powinno generować alarmy, zwłaszcza gdy towarzyszą mu zmiany kont użytkowników albo wyłączanie interfejsów sieciowych.

Należy konsekwentnie egzekwować zasadę najmniejszych uprawnień, ograniczać dostęp administracyjny i regularnie audytować członkostwo w grupach uprzywilejowanych. Wiper tego typu wymaga szerokich praw do modyfikacji systemu i niszczenia danych, dlatego redukcja uprawnień może znacząco ograniczyć skalę szkód.

Najważniejszym filarem odporności pozostają odseparowane kopie zapasowe offline oraz regularne testy odtwarzania. Kopie zapasowe powinny być niedostępne z poziomu skompromitowanego środowiska domenowego, a procedury przywracania muszą być okresowo sprawdzane w praktyce, nie tylko deklarowane w dokumentacji.

Zespoły SOC i IR powinny rozbudować scenariusze detekcji o sygnały wyprzedzające detonację malware. Chodzi między innymi o manipulacje usługami systemowymi, masowe zmiany haseł lokalnych użytkowników, wylogowywanie sesji, wyłączanie interfejsów, czyszczenie woluminów oraz działania wskazujące na próbę usunięcia mechanizmów odzyskiwania. W kampaniach sabotażowych czas reakcji jest bardzo krótki, dlatego wykrycie fazy przygotowawczej ma kluczowe znaczenie.

Podsumowanie

Lotus Wiper to przykład wysoko ukierunkowanego malware destrukcyjnego, zaprojektowanego do trwałego niszczenia danych i paraliżowania krytycznych środowisk operacyjnych. Kampania pokazuje połączenie prostych skryptów wsadowych, narzędzi wbudowanych w Windows oraz wyspecjalizowanego ładunku wykonującego operacje na poziomie fizycznych dysków.

Dla obrońców najważniejszy wniosek jest jednoznaczny: zagrożenia typu wiper wymagają traktowania incydentu jako elementu szerszej operacji sabotażowej, przygotowywanej z wyprzedzeniem. Skuteczna ochrona musi obejmować nie tylko backup, ale również monitoring narzędzi administracyjnych, udziałów domenowych, uprawnień uprzywilejowanych i wczesnych oznak przygotowania środowiska do destrukcji.