L'année dernière a vu des attaques ciblées contre des entreprises vénézuéliennes du secteur de l'énergie et des services publics utilisant un nouveau wiper de données appelé **Lotus**. L'objectif de ce malware est la destruction complète du système. Le malware a été téléchargé sur une plateforme publique à la mi-décembre depuis une machine vénézuélienne, et a ensuite été analysé par **Kaspersky**. Avant l'étape finale de destruction, l'attaquant utilise deux scripts batch pour affaiblir les défenses et perturber les opérations normales. Selon les chercheurs, le malware d'effacement de données **Lotus** est conçu pour détruire complètement les systèmes en écrasant les disques physiques et en éliminant les options de récupération. « Le wiper supprime les mécanismes de récupération, écrase le contenu des disques physiques et supprime systématiquement les fichiers sur les volumes affectés, laissant finalement le système dans un état irrécupérable », a déclaré **Kaspersky** dans son rapport. Compte tenu du calendrier des attaques, l'activité observée correspond aux tensions géopolitiques dans la région, qui ont culminé en janvier avec la capture de l'alors président du Venezuela, Nicolás Maduro. Vers la mi-décembre 2025, la compagnie pétrolière d'État **Petróleos de Venezuela (PDVSA)** a subi une cyberattaque qui a désactivé ses systèmes de livraison. L'organisation a blâmé les États-Unis pour cet incident. Bien qu'il n'y ait aucune preuve directe reliant le wiper **Lotus** à l'attaque contre **PDVSA**, le calendrier est notable. ### Activité préliminaire Le rapport de **Kaspersky** détaille que les attaques commencent par l'exécution d'un script batch (OhSyncNow.bat) qui désactive le service Windows *‘UI0Detect’* et effectue une vérification de fichier XML pour coordonner l'exécution sur les systèmes joints au domaine. Un script de second niveau (notesreg.bat) est exécuté lorsque certaines conditions sont remplies. Il énumère les utilisateurs, désactive les comptes via des changements de mot de passe, déconnecte les sessions actives, désactive toutes les interfaces réseau et désactive les connexions mises en cache. Le code malveillant énumère ensuite les disques et exécute *‘diskpart clean all’* pour les écraser avec des zéros. Il utilise également *‘robocopy’* pour écraser le contenu des répertoires, a découvert **Kaspersky**. Dans la phase suivante, il calcule l'espace libre et utilise *‘fsutil’* pour créer un fichier qui remplit le disque, rendant la récupération des données plus difficile. Après avoir préparé l'environnement pour la destruction des données, le script batch déchiffre et exécute le wiper **Lotus** comme payload final. ### Déploiement du wiper Lotus Le wiper **Lotus** opère à un niveau inférieur, interagissant avec les disques via des appels IOCTL, récupérant la géométrie du disque, effaçant les entrées du journal USN, effaçant les points de restauration et écrasant les secteurs physiques, pas seulement les volumes logiques. Le malware effectue les actions suivantes : * Active tous les privilèges dans son token pour obtenir un accès de niveau administrateur. * Supprime tous les points de restauration Windows en utilisant l'API Windows System Restore. * Écrase les disques physiques en récupérant la géométrie du disque et en écrasant tous les secteurs avec des zéros. * Efface le journal USN pour supprimer les traces de l'activité du système de fichiers. * Supprime les fichiers en zéroant leur contenu, en les renommant aléatoirement et en les supprimant (ou en planifiant leur suppression au redémarrage s'ils sont verrouillés). * Répète plusieurs fois les cycles d'effacement de disque et de suppression de points de restauration. * Met à jour les propriétés du disque en utilisant IOCTL_DISK_UPDATE_PROPERTIES après l'effacement final. **Kaspersky** recommande aux administrateurs système de surveiller les modifications du partage NETLOGON, la manipulation de UI0Detect, les changements massifs de comptes et la désactivation des interfaces réseau, car il s'agit d'activités préliminaires. Ils conseillent également que l'utilisation inattendue de *‘diskpart,’ ‘robocopy,’* et *‘fsutil’* est un signal d'alarme. Une recommandation générale contre les wipers et les ransomwares est de maintenir des sauvegardes hors ligne régulières et de valider fréquemment leur restaurabilité.