昨年、ベネズエラのエネルギープラントおよび公益事業者を標的とした攻撃で、新たなデータワイパー「Lotus」が使用されました。このマルウェアの目的は、システムの完全な破壊です。 このマルウェアは12月中旬にベネズエラの端末から公開プラットフォームにアップロードされ、その後Kasperskyによって分析されました。 最終的な破壊段階の前に、攻撃者は2つのバッチスクリプトを使用して防御を弱め、通常の操作を妨害します。 研究者によると、Lotusデータワイパーマルウェアは、物理ドライブを上書きし、復旧オプションを排除することで、システムを完全に破壊するように設計されています。 「ワイパーは復旧メカニズムを削除し、物理ドライブの内容を上書きし、影響を受けたボリューム全体でファイルを体系的に削除し、最終的にシステムを回復不能な状態にします」とKasperskyはレポートで述べています。 攻撃のタイミングを考慮すると、観測された活動は地域の地政学的な緊張と一致しており、1月にベネズエラの当時の大統領ニコラス・マドゥロ氏が逮捕されたことで最高潮に達しました。 2025年12月中旬頃、国営石油会社Petróleos de Venezuela (PDVSA) がサイバー攻撃を受け、配送システムが停止しました。同社はこのインシデントについて米国を非難しました。LotusワイパーとPDVSA攻撃との直接的な関連を示す証拠はありませんが、タイミングは注目に値します。 ### 事前活動 Kasperskyのレポートによると、攻撃はバッチスクリプト（OhSyncNow.bat）の実行から始まり、Windowsの*‘UI0Detect’*サービスを無効にし、ドメイン参加システム間での実行を調整するためにXMLファイルチェックを実行します。 特定の条件が満たされると、セカンドステージスクリプト（notesreg.bat）が実行されます。これはユーザーを列挙し、パスワード変更を通じてアカウントを無効にし、アクティブなセッションをログオフし、すべてのネットワークインターフェイスを無効にし、キャッシュされたログインを非アクティブ化します。 その後、悪意のあるコードはドライブを列挙し、*‘diskpart clean all’*を実行してゼロで上書きします。Kasperskyによると、*‘robocopy’*を使用してディレクトリの内容も上書きします。 次のフェーズでは、空き容量を計算し、*‘fsutil’*を使用してディスクを埋めるファイルを作成し、データ復旧をより困難にします。 データ破壊の環境を準備した後、バッチスクリプトはLotusワイパーを復号化して実行し、最終的なペイロードとします。 ### Lotusワイパーの展開 Lotusワイパーは、IOCTL呼び出しを介してディスクと対話し、ディスクジオメトリを取得し、USNジャーナルエントリを消去し、復元ポイントをワイプし、物理セクターを上書きする（論理ボリュームだけでなく）低レベルで動作します。 マルウェアは以下の操作を実行します。 * トークン内のすべての権限を有効にして、管理者レベルのアクセス権を取得します。 * Windowsシステム復元APIを使用して、すべてのWindows復元ポイントを削除します。 * ディスクジオメトリを取得し、すべてのセクターをゼロで上書きすることにより、物理ドライブをワイプします。 * ファイルシステムアクティビティの痕跡を削除するために、USNジャーナルを消去します。 * ファイルのコンテンツをゼロで上書きし、ランダムに名前を変更し、削除します（またはロックされている場合は再起動時の削除をスケジュールします）。 * ドライブワイプと復元ポイント削除のサイクルを複数回繰り返します。 * 最終ワイプ後、IOCTL_DISK_UPDATE_PROPERTIESを使用してディスクプロパティを更新します。 Kasperskyは、システム管理者がNETLOGON共有の変更、UI0Detectの操作、大量のアカウント変更、ネットワークインターフェイスの無効化を監視することを推奨しています。これらは事前活動です。 また、*‘diskpart’*、*‘robocopy’*、*‘fsutil’*の予期しない使用はレッドフラグであるとアドバイスしています。 Wiperやランサムウェアに対する一般的な推奨事項は、定期的なオフラインバックアップを維持し、その復元可能性を頻繁に検証することです。