Pesquisadores da Kaspersky identificaram um novo malware destrutivo chamado Lotus Wiper, utilizado em uma campanha cibernética direcionada contra o setor de energia e serviços essenciais na Venezuela. A atividade maliciosa, observada entre o final de 2025 e o início de 2026, tem como objetivo principal inutilizar completamente os sistemas comprometidos, sem qualquer tentativa de extorsão financeira.
Ao contrário de ataques de ransomware, o Lotus Wiper não apresenta pedidos de resgate ou negociações com as vítimas. Esse comportamento sugere uma operação voltada à sabotagem digital, possivelmente com motivações geopolíticas, em vez de lucro direto. O cenário reforça a hipótese de uma ação altamente planejada contra infraestruturas críticas.
A cadeia de infecção começa com scripts em batch responsáveis por preparar os sistemas comprometidos para a fase destrutiva. Esses scripts coordenam a execução em múltiplas máquinas, enfraquecem mecanismos de defesa e interrompem processos em andamento antes de ativar o componente principal do ataque. Entre as primeiras ações está a tentativa de desativar o serviço Windows Interactive Services Detection (UI0Detect), o que indica conhecimento de ambientes legados.
Em seguida, o malware verifica a presença do compartilhamento NETLOGON, comum em redes corporativas baseadas em Active Directory, para identificar se o sistema faz parte de um domínio. Caso não consiga acesso imediato, o código introduz atrasos aleatórios de até 20 minutos, uma técnica usada para dificultar a detecção por sistemas de segurança baseados em comportamento.
Após validar o ambiente, um segundo estágio do ataque é ativado. Nessa fase, comandos nativos do sistema operacional são executados para aumentar o impacto, incluindo listagem de usuários locais, desativação de autenticação em cache, encerramento de sessões ativas e bloqueio de interfaces de rede, isolando completamente o sistema.
O ataque então evolui para sua fase mais destrutiva, com a execução do comando “diskpart clean all”, responsável por apagar integralmente os discos afetados. Paralelamente, ferramentas como robocopy são usadas para sobrescrever diretórios, enquanto o utilitário fsutil gera arquivos que ocupam todo o espaço disponível em disco, dificultando qualquer recuperação de dados.
Na etapa final, o payload principal do Lotus Wiper é acionado. Ele remove pontos de restauração, sobrescreve setores físicos com zeros, limpa registros de journaling (USN) e apaga todos os arquivos armazenados nos volumes do sistema, tornando a infraestrutura completamente inoperante.
A análise indica que os invasores já possuíam conhecimento prévio do ambiente alvo, incluindo sistemas antigos e estruturas de domínio complexas. Isso sugere que a intrusão inicial pode ter ocorrido semanas ou até meses antes da fase destrutiva, caracterizando uma operação com persistência avançada e movimentação lateral.
Especialistas recomendam que organizações de setores críticos monitorem alterações no NETLOGON, tentativas de extração de credenciais e uso anormal de ferramentas nativas do Windows, como diskpart, robocopy e fsutil — frequentemente associadas a técnicas conhecidas como “living-off-the-land”.
O caso reforça uma tendência crescente no cenário de ameaças digitais: o uso de wipers em ataques direcionados com foco em destruição total de sistemas. Diferente de campanhas de ransomware, essas operações não buscam lucro, mas sim interromper serviços essenciais e causar impacto operacional severo em regiões inteiras.
