El año pasado se observaron ataques dirigidos contra empresas energéticas y de servicios públicos venezolanas que emplearon un nuevo wiper de datos llamado **Lotus**. El propósito del malware es la destrucción completa del sistema. El malware fue subido a una plataforma pública a mediados de diciembre desde una máquina venezolana, y posteriormente analizado por **Kaspersky**. Antes de la etapa destructiva final, el atacante utiliza dos scripts por lotes (batch scripts) para debilitar las defensas y perturbar las operaciones normales. Según los investigadores, el malware de borrado de datos **Lotus** está diseñado para destruir completamente los sistemas sobrescribiendo discos físicos y eliminando las opciones de recuperación. "El wiper elimina los mecanismos de recuperación, sobrescribe el contenido de los discos físicos y elimina sistemáticamente archivos en los volúmenes afectados, dejando finalmente el sistema en un estado irrecuperable", afirmó **Kaspersky** en su informe. Dado el momento de los ataques, la actividad observada se alinea con las tensiones geopolíticas en la región, que culminaron en enero con la captura del entonces presidente de Venezuela, Nicolás Maduro. Alrededor de mediados de diciembre de 2025, la empresa petrolera estatal **Petróleos de Venezuela (PDVSA)** sufrió un ciberataque que inhabilitó sus sistemas de entrega. La organización culpó a Estados Unidos por el incidente. Si bien no hay evidencia directa que vincule el wiper **Lotus** con el ataque a **PDVSA**, el momento es notable. ### Actividad Preliminar El informe de **Kaspersky** detalla que los ataques comienzan con la ejecución de un script por lotes (OhSyncNow.bat) que deshabilita el servicio de Windows *‘UI0Detect’* y realiza una verificación de archivos XML para coordinar la ejecución en sistemas unidos a un dominio. Un script de segunda etapa (notesreg.bat) se ejecuta cuando se cumplen ciertas condiciones. Enumera usuarios, deshabilita cuentas mediante cambios de contraseña, cierra sesiones activas, deshabilita todas las interfaces de red y desactiva los inicios de sesión en caché. El código malicioso luego enumera los discos y ejecuta *‘diskpart clean all’* para sobrescribirlos con ceros. También utiliza *‘robocopy’* para sobrescribir el contenido de los directorios, encontró **Kaspersky**. En la siguiente fase, calcula el espacio libre y utiliza *‘fsutil’* para crear un archivo que llena el disco, dificultando la recuperación de datos. Después de preparar el entorno para la destrucción de datos, el script por lotes descifra y ejecuta el wiper **Lotus** como el payload final. ### Despliegue del Wiper Lotus El wiper **Lotus** opera a un nivel inferior, interactuando con los discos a través de llamadas IOCTL, recuperando la geometría del disco, limpiando entradas del registro USN, borrando puntos de restauración y sobrescribiendo sectores físicos, no solo volúmenes lógicos. El malware realiza las siguientes acciones: * Habilita todos los privilegios en su token para obtener acceso de nivel administrativo. * Elimina todos los puntos de restauración de Windows utilizando la API de Restauración del Sistema de Windows. * Borra discos físicos recuperando la geometría del disco y sobrescribiendo todos los sectores con ceros. * Limpia el registro USN para eliminar rastros de la actividad del sistema de archivos. * Elimina archivos poniendo a cero su contenido, renombrándolos aleatoriamente y eliminándolos (o programando la eliminación al reiniciar si están bloqueados). * Repite ciclos de borrado de discos y eliminación de puntos de restauración varias veces. * Actualiza las propiedades del disco utilizando IOCTL_DISK_UPDATE_PROPERTIES después del borrado final. **Kaspersky** recomienda que los administradores de sistemas monitoreen los cambios en el recurso compartido NETLOGON, la manipulación de UI0Detect, los cambios masivos de cuentas y la deshabilitación de interfaces de red, ya que estas son actividades precursoras. También aconsejan que el uso inesperado de *‘diskpart,’ ‘robocopy,’* y *‘fsutil’* es una señal de alerta. Una recomendación general contra los wipers y el ransomware es mantener copias de seguridad regulares sin conexión y validar frecuentemente su capacidad de restauración.