Im letzten Jahr gab es gezielte Angriffe auf venezolanische Energie- und Versorgungsunternehmen, bei denen ein neuer Datenlösch-Trojaner namens **Lotus** eingesetzt wurde. Der Zweck der Malware ist die vollständige Zerstörung des Systems. Die Malware wurde Mitte Dezember von einem venezolanischen Rechner auf eine öffentliche Plattform hochgeladen und anschließend von **Kaspersky** analysiert. Vor der endgültigen Zerstörungsphase nutzt der Angreifer zwei Batch-Skripte, um Abwehrmaßnahmen zu schwächen und den normalen Betrieb zu stören. Laut den Forschern ist die **Lotus**-Datenlösch-Malware darauf ausgelegt, Systeme vollständig zu zerstören, indem physische Laufwerke überschrieben und Wiederherstellungsoptionen eliminiert werden. "Der Wiper entfernt Wiederherstellungsmechanismen, überschreibt den Inhalt physischer Laufwerke und löscht systematisch Dateien über betroffene Volumes hinweg, wodurch das System letztendlich in einem nicht wiederherstellbaren Zustand hinterlassen wird", erklärte **Kaspersky** in seinem Bericht. Angesichts des Zeitpunkts der Angriffe stimmt die beobachtete Aktivität mit den geopolitischen Spannungen in der Region überein, die im Januar mit der Verhaftung des damaligen venezolanischen Präsidenten Nicolás Maduro gipfelten. Um Mitte Dezember 2025 erlitt das staatliche Ölunternehmen **Petróleos de Venezuela (PDVSA)** einen Cyberangriff, der seine Liefersysteme lahmlegte. Die Organisation machte die Vereinigten Staaten für den Vorfall verantwortlich. Obwohl es keine direkten Beweise für die Verbindung des **Lotus**-Wipers mit dem **PDVSA**-Angriff gibt, ist der Zeitpunkt bemerkenswert. ### Vorläufige Aktivität Der Bericht von **Kaspersky** beschreibt, dass die Angriffe mit der Ausführung eines Batch-Skripts (OhSyncNow.bat) beginnen, das den Windows-Dienst *‘UI0Detect’* deaktiviert und eine XML-Datei-Prüfung durchführt, um die Ausführung über Domänen-verbundene Systeme hinweg zu koordinieren. Ein zweistufiges Skript (notesreg.bat) wird ausgeführt, wenn bestimmte Bedingungen erfüllt sind. Es zählt Benutzer auf, deaktiviert Konten durch Passwortänderungen, meldet aktive Sitzungen ab, deaktiviert alle Netzwerkschnittstellen und schaltet zwischengespeicherte Anmeldungen ab. Der bösartige Code zählt dann Laufwerke auf und führt *‘diskpart clean all’* aus, um sie mit Nullen zu überschreiben. Er verwendet auch *‘robocopy’*, um Verzeichnisinhalte zu überschreiben, wie **Kaspersky** feststellte. In der nächsten Phase berechnet es den freien Speicherplatz und verwendet *‘fsutil’*, um eine Datei zu erstellen, die die Festplatte füllt und die Datenwiederherstellung erschwert. Nach der Vorbereitung der Umgebung für die Datenzerstörung entschlüsselt das Batch-Skript den **Lotus**-Wiper als endgültigen Payload und führt ihn aus. ### Bereitstellung des Lotus-Wipers Der **Lotus**-Wiper arbeitet auf einer niedrigeren Ebene und interagiert über IOCTL-Aufrufe mit Laufwerken, ruft die Laufwerksgeometrie ab, löscht USN-Journal-Einträge, löscht Wiederherstellungspunkte und überschreibt physische Sektoren, nicht nur logische Volumes. Die Malware führt folgende Aktionen aus: * Aktiviert alle Berechtigungen in seinem Token, um administrativen Zugriff zu erhalten. * Löscht alle Windows-Wiederherstellungspunkte mithilfe der Windows System Restore API. * Löscht physische Laufwerke, indem die Laufwerksgeometrie abgerufen und alle Sektoren mit Nullen überschrieben werden. * Löscht das USN-Journal, um Spuren von Dateisystemaktivitäten zu entfernen. * Löscht Dateien, indem deren Inhalt mit Nullen überschrieben, sie zufällig umbenannt und gelöscht werden (oder die Löschung beim Neustart geplant wird, wenn sie gesperrt sind). * Wiederholt mehrmals Zyklen von Laufwerkslöschung und Löschung von Wiederherstellungspunkten. * Aktualisiert die Laufwerkseigenschaften mithilfe von IOCTL_DISK_UPDATE_PROPERTIES nach der endgültigen Löschung. **Kaspersky** empfiehlt Systemadministratoren, Änderungen an NETLOGON-Freigaben, Manipulationen von UI0Detect, Massenänderungen von Konten und die Deaktivierung von Netzwerkschnittstellen zu überwachen, da dies Vorläuferaktivitäten sind. Sie raten auch, dass unerwartete Verwendung von *‘diskpart,’ ‘robocopy,’* und *‘fsutil’* ein Warnsignal ist. Eine allgemeine Empfehlung gegen Wiper und Ransomware ist die Aufrechterhaltung regelmäßiger Offline-Backups und die häufige Überprüfung ihrer Wiederherstellbarkeit.