No ano passado, ataques direcionados contra empresas de energia e utilidades venezuelanas empregaram um novo wiper de dados chamado **Lotus**. O propósito do malware é a destruição completa do sistema. O malware foi carregado em uma plataforma pública em meados de dezembro a partir de uma máquina venezuelana e, subsequentemente, analisado pela **Kaspersky**. Antes da fase destrutiva final, o atacante utiliza dois scripts batch para enfraquecer as defesas e interromper as operações normais. De acordo com os pesquisadores, o malware de apagamento de dados **Lotus** foi projetado para destruir completamente os sistemas, sobrescrevendo discos físicos e eliminando opções de recuperação. "O wiper remove mecanismos de recuperação, sobrescreve o conteúdo de discos físicos e apaga sistematicamente arquivos em volumes afetados, deixando o sistema em um estado irrecuperável", afirmou a **Kaspersky** em seu relatório. Dada a época dos ataques, a atividade observada se alinha com as tensões geopolíticas na região, que culminaram em janeiro com a captura do então presidente da Venezuela, Nicolás Maduro. Por volta de meados de dezembro de 2025, a empresa estatal de petróleo **Petróleos de Venezuela (PDVSA)** sofreu um ciberataque que desativou seus sistemas de entrega. A organização culpou os Estados Unidos pelo incidente. Embora não haja evidências diretas ligando o wiper **Lotus** ao ataque à **PDVSA**, o momento é notável. ### Atividade Preliminar O relatório da **Kaspersky** detalha que os ataques começam com a execução de um script batch (OhSyncNow.bat) que desabilita o serviço *‘UI0Detect’* do Windows e realiza uma verificação de arquivo XML para coordenar a execução em sistemas ingressados no domínio. Um script de segundo estágio (notesreg.bat) é executado quando certas condições são atendidas. Ele enumera usuários, desabilita contas via alteração de senha, desconecta sessões ativas, desabilita todas as interfaces de rede e desativa logins em cache. O código malicioso então enumera os discos e executa *‘diskpart clean all’* para sobrescrevê-los com zeros. Ele também usa *‘robocopy’* para sobrescrever o conteúdo de diretórios, descobriu a **Kaspersky**. Na próxima fase, ele calcula o espaço livre e usa *‘fsutil’* para criar um arquivo que preenche o disco, tornando a recuperação de dados mais difícil. Após preparar o ambiente para a destruição de dados, o script batch descriptografa e executa o wiper **Lotus** como o payload final. ### Implantação do Wiper Lotus O wiper **Lotus** opera em um nível mais baixo, interagindo com os discos via chamadas IOCTL, recuperando a geometria do disco, limpando entradas do USN journal, apagando pontos de restauração e sobrescrevendo setores físicos, não apenas volumes lógicos. O malware realiza as seguintes ações: * Habilita todos os privilégios em seu token para obter acesso em nível administrativo. * Exclui todos os pontos de restauração do Windows usando a API do Windows System Restore. * Apaga discos físicos recuperando a geometria do disco e sobrescrevendo todos os setores com zeros. * Limpa o USN journal para remover rastros da atividade do sistema de arquivos. * Exclui arquivos zerando seu conteúdo, renomeando-os aleatoriamente e removendo-os (ou agendando a exclusão na reinicialização se estiverem bloqueados). * Repete ciclos de apagamento de disco e exclusão de ponto de restauração várias vezes. * Atualiza as propriedades do disco usando IOCTL_DISK_UPDATE_PROPERTIES após o apagamento final. A **Kaspersky** recomenda que os administradores de sistema monitorem alterações no compartilhamento NETLOGON, manipulação de UI0Detect, alterações massivas de contas e desativação de interfaces de rede, pois estas são atividades precursoras. Eles também aconselham que o uso inesperado de *‘diskpart,’ ‘robocopy,’* e *‘fsutil’* é um sinal de alerta. Uma recomendação geral contra wipers e ransomware é manter backups offline regulares e validar frequentemente sua capacidade de restauração.