# Lotus Wiper Ataca Setor de Energia Venezuelano em Campanha Destrutiva  Pesquisadores de cibersegurança descobriram um apagador de dados anteriormente não documentado, o **Lotus Wiper**, que foi implantado em ataques visando a Venezuela no final de 2025 e início de 2026. ## Detalhes da Campanha Destrutiva De acordo com descobertas da **Kaspersky**, o novo apagador de arquivos foi usado em uma campanha destrutiva direcionada ao setor de energia e utilidades na Venezuela. Os ataques não parecem ter motivação financeira. "Dois scripts batch são responsáveis por iniciar a fase destrutiva do ataque e preparar o ambiente para a execução do payload final do wiper", disse o fornecedor russo de cibersegurança. "Esses scripts coordenam o início da operação em toda a rede, enfraquecem as defesas do sistema e interrompem as operações normais antes de recuperar, desofuscar e executar um wiper desconhecido." Uma vez implantado, o wiper apaga mecanismos de recuperação, sobrescreve o conteúdo de discos físicos e exclui sistematicamente arquivos em volumes afetados, tornando o sistema inoperante. ## Cronologia e Potencial Contexto Geopolítico Notavelmente, o wiper foi carregado em uma plataforma pública em meados de dezembro de 2025 a partir de uma máquina na Venezuela, semanas antes da ação militar dos EUA no país no início de janeiro de 2026. A amostra foi compilada no final de setembro de 2025. Embora um link direto permaneça não confirmado, a **Kaspersky** destaca que o upload ocorreu "durante um período de aumento de relatos públicos de atividade de malware visando o mesmo setor e região", sugerindo um ataque altamente direcionado. ## Análise da Cadeia de Ataque O ataque começa com um script batch que aciona uma sequência de múltiplos estágios para implantar o payload do wiper. O script tenta parar o serviço **Windows** Interactive Services Detection (UI0Detect), projetado para alertar os usuários quando um serviço em segundo plano tenta exibir uma interface gráfica. A presença do UI0Detect sugere que o script visa sistemas executando versões anteriores ao **Windows** 10 versão 1803. O script verifica o compartilhamento NETLOGON e acessa um arquivo XML remoto. Em seguida, executa um segundo script batch após verificar a existência de um arquivo local correspondente. "A verificação local muito provavelmente tenta determinar se a máquina faz parte de um domínio **Active Directory**", explicou a **Kaspersky**. "Se o arquivo remoto não for encontrado, o script sai. Nos casos em que o compartilhamento NETLOGON é inicialmente inacessível, o script introduz um atraso aleatório de até 20 minutos antes de tentar novamente a verificação remota." ## Funcionalidade do Wiper O segundo script batch enumera contas de usuário locais, desabilita logins em cache, desconecta sessões ativas, desativa interfaces de rede e executa o comando `diskpart clean all` para apagar todas as unidades lógicas identificadas. Ele também usa `robocopy` para espelhar ou excluir pastas recursivamente, calcula o espaço livre disponível e utiliza `fsutil` para criar um arquivo que preenche todo o disco. Após preparar o ambiente, o **Lotus Wiper** exclui pontos de restauração, sobrescreve setores físicos com zeros, limpa os números de sequência de atualização (USN) dos journals dos volumes e apaga todos os arquivos do sistema para cada volume montado. ## Estratégias de Mitigação As organizações são aconselhadas a monitorar alterações no compartilhamento NETLOGON, atividades de extração de credenciais ou escalonamento de privilégios, e o uso de utilitários nativos do **Windows** como `fsutil`, `robocopy` e `diskpart` para ações destrutivas. A **Kaspersky** sugere que os atacantes possuíam conhecimento prévio do ambiente e comprometeram o domínio muito antes do ataque, dado o alvo do wiper em versões mais antigas do **Windows**.