Novo malware apaga dados do setor de energia na Venezuela: entenda o Lotus Wiper
Pesquisadores da Kaspersky identificaram um novo malware do tipo wiper, batizado de Lotus Wiper, que tem como alvo direto empresas de energia e utilidades na Venezuela. Diferentemente de ransomwares tradicionais, ele não traz nenhuma instrução de pagamento ou mecanismo de extorsão, o que reforça a conclusão de que não há motivação financeira. O propósito é puramente destrutivo: apagar de forma definitiva os dados dos dispositivos comprometidos, impossibilitando a recuperação por meios convencionais.
Os artefatos do Lotus Wiper foram encontrados em um recurso público por volta de dezembro de 2025 e analisados em detalhe. A campanha observada mira especificamente ambientes corporativos com domínio Windows, o que sugere que os atacantes conhecem bem a infraestrutura das organizações visadas, incluindo nomes de compartilhamentos e convenções internas de TI.
Cadeia de execução em duas fases
O ataque se desenrola em duas etapas principais, orquestradas por scripts em batch. No primeiro estágio, um arquivo chamado `OhSyncNow.bat` é acionado. Ele tenta desabilitar o serviço UI0Detect, um componente antigo do Windows responsável por exibir certas notificações de interface. Ao neutralizar esse serviço, o malware reduz a chance de que o usuário perceba avisos ou diálogos anômalos que poderiam denunciar a atividade maliciosa.
Na sequência, o script verifica a existência de um arquivo XML em um compartilhamento NETLOGON remoto. Esse caminho de rede inclui o nome da organização alvo, funcionando como um “gatilho” para a execução do ataque em máquinas pertencentes ao domínio. Ou seja, o wiper é ativado de forma coordenada, aproveitando a própria infraestrutura de logon do Windows para se disseminar.
Desativação de contas e preparação para a destruição
O segundo script, `notesreg.bat`, assume o papel de preparar o ambiente para o dano máximo. Primeiro, ele lista as contas de usuários locais na máquina, excluindo algumas específicas, entre elas o departamento de TI da organização comprometida. Em seguida, altera as senhas dessas contas para cadeias aleatórias e as marca como inativas, bloqueando o acesso normal de usuários e dificultando qualquer reação rápida.
Depois disso, o lote desabilita o logon em cache (impedindo autenticações offline), encerra sessões de usuários que estejam ativas e desativa as interfaces de rede. Com isso, a capacidade de resposta da equipe de TI fica bastante reduzida, já que conexões remotas são interrompidas. Em um passo crítico, o script executa o comando `diskpart clean all`, que zera o conteúdo de discos inteiros, ao mesmo tempo em que copia binários legítimos do Windows para um diretório de trabalho, usados na etapa seguinte da infecção.
Implantação do wiper final
Na fase final, o script chama o executável `nstats.exe`, que se disfarça como um componente legítimo do HCL Domino. Ele é executado com dois argumentos: `nevent.exe` e `ndesign.exe`. O primeiro aponta para um arquivo criptografado com XOR; após a descriptografia, o conteúdo é gravado no segundo arquivo, que se torna o wiper definitivo pronto para agir.
O papel de `nstats.exe` é puramente funcional: descriptografar e restaurar o Lotus Wiper a partir do payload ofuscado. Essa técnica ajuda a burlar alguns mecanismos de detecção, uma vez que o código mais destrutivo não está diretamente exposto em disco até o momento da execução.
Como o Lotus Wiper destrói os dados
De acordo com a análise, o Lotus Wiper foi compilado no fim de setembro de 2025. Ao iniciar sua rotina, ele carrega dinamicamente a biblioteca `srclient.dll` e usa as funções `SRSetRestorePoint` e `SRRemoveRestorePoint` para manipular e apagar todos os pontos de restauração do sistema. Essa etapa é fundamental: sem pontos de restauração, torna-se muito mais difícil reverter o estado da máquina a um momento anterior ao ataque.
Em seguida, o wiper varre todos os discos físicos conectados e utiliza o código IOCTL `IOCTL_DISK_GET_DRIVE_GEOMETRY_EX` para obter a geometria das unidades. Com essas informações, escreve zeros em cada setor físico do disco, processo que ocorre tanto no começo quanto no final da execução. Essa “zeragem” sistemática compromete completamente a estrutura dos dados, indo além da simples exclusão de arquivos.
Entre essas duas ondas de sobrescrita de setores, o Lotus Wiper passa para a camada de sistema de arquivos. Ele identifica todos os volumes montados, por meio das funções `FindFirstVolumeW` e `FindNextVolumeW`. Para cada arquivo encontrado (ignorando diretórios), usa o código `FSCTL_SET_ZERO_DATA` para preencher o conteúdo com zeros, destruindo a informação ali armazenada. Em seguida, renomeia o arquivo usando um nome hexadecimal aleatório, o que dificulta qualquer tentativa manual de recuperação ou análise posterior, e depois tenta removê-lo com `DeleteFileW`.
Se a exclusão falhar por algum motivo (bloqueios, travas de sistema ou uso por outros processos), o malware recorre a `MoveFileExW` para mover o arquivo para um destino nulo, com uma flag que adia a exclusão até a próxima reinicialização da máquina. Assim, mesmo arquivos temporariamente protegidos acabam sendo eliminados em um ciclo posterior.
Por que esse tipo de ataque é tão crítico para o setor de energia
Wipers voltados a infraestruturas críticas, como o setor de energia, representam um risco muito mais amplo do que ataques financeiros tradicionais. Ao apagar dados estruturais, sistemas de controle, logs de operação e configurações, o Lotus Wiper pode causar paralisações prolongadas, afetar a entrega de serviços essenciais e até comprometer a segurança física de instalações industriais.
No contexto venezuelano, onde o sistema elétrico já enfrenta instabilidades recorrentes, um ataque dessa natureza pode amplificar falhas, prolongar apagões e dificultar o diagnóstico de problemas, já que os registros técnicos podem ser completamente perdidos. Além do impacto operacional, há um componente geopolítico importante: ações destrutivas sem pedido de resgate normalmente indicam motivações estratégicas, políticas ou de sabotagem.
Diferença entre wiper e ransomware clássico
Embora muitas organizações associem incidentes de segurança a sequestro de dados, o Lotus Wiper segue outra lógica. Enquanto o ransomware criptografa arquivos e exige pagamento para liberar a chave de descriptografia, o wiper busca tornar irrecuperáveis as informações, sem possibilidade razoável de negociação ou reversão. Isso muda a forma de preparar defesas: backups, redundância e planos de continuidade de negócio passam a ser ainda mais críticos do que simples mecanismos de bloqueio.
Outra diferença importante é o padrão de detecção. Como não há tela de resgate, nota de exigência ou comunicação explícita com a vítima, muitas vezes o ataque só é percebido quando os sistemas começam a falhar em cascata, com arquivos corrompidos e máquinas incapazes de inicializar. Em ambientes industriais, isso pode levar técnicos a crer inicialmente em um problema puramente técnico, atrasando a resposta de cibersegurança.
Superfícies de ataque exploradas pelo Lotus Wiper
O uso de compartilhamentos NETLOGON, scripts em batch e binários nativos do Windows sugere uma abordagem de “living off the land”, na qual o atacante aproveita ferramentas e mecanismos já presentes no sistema operacional. Essa estratégia reduz o número de componentes externos necessários, o que dificulta a detecção por antivírus e soluções tradicionais baseadas em assinaturas.
A modificação de contas locais, o desligamento das interfaces de rede e o uso de comandos como `diskpart clean all` também indicam que os operadores entendem bem o funcionamento de ambientes Windows corporativos. Isso reforça a importância de políticas rígidas de privilégio mínimo, limitação de contas administrativas e monitoramento de comandos sensíveis executados em servidores e estações críticas.
Recomendações de mitigação e boas práticas
A Kaspersky recomenda uma série de medidas para reduzir o risco de ataques semelhantes. Um dos pontos centrais é a auditoria contínua de permissões e atividades em compartilhamentos de domínio, especialmente aqueles usados para scripts de logon ou distribuição de políticas. Alterações inesperadas em arquivos de configuração, scripts em batch ou XMLs presentes em NETLOGON devem acionar alertas imediatos.
Outro foco é o monitoramento do uso de ferramentas nativas como `fsutil`, `robocopy` e `diskpart`. Embora sejam utilitários legítimos e essenciais para administradores, o uso incomum, em horários atípicos ou a partir de contas que não costumam executar essas tarefas, pode indicar abuso por parte de um invasor.
É essencial também garantir que sistemas críticos e dados de alto valor possam ser restaurados rapidamente a partir de backups offline ou imutáveis. Somente cópias de segurança desconectadas (ou protegidas contra sobrescrita) têm chance real de sobreviver a um wiper que zera discos, apaga pontos de restauração e sobrescreve arquivos.
Estratégias adicionais para organizações de energia
Empresas do setor de energia e utilidades devem ir além das recomendações genéricas e adaptar sua defesa à realidade de infraestrutura crítica. Isso inclui a segmentação rigorosa entre redes de TI corporativa e redes OT (tecnologia operacional), limitando ao máximo a passagem de ameaças entre os dois mundos. Firewalls industriais, listas de controle de acesso bem definidas e monitoramento específico de protocolos industriais ajudam a reduzir o alcance de um possível wiper.
Outra medida essencial é a realização de exercícios de resposta a incidentes voltados para cenários destrutivos: simular perda completa de servidores de controle, indisponibilidade de sistemas de supervisão e necessidade de operação manual por períodos prolongados. Esses testes permitem identificar gargalos, dependências ocultas e pontos únicos de falha que precisam ser corrigidos antes de um ataque real.
Cultura de segurança e visibilidade contínua
Por fim, enfrentar ameaças como o Lotus Wiper exige uma combinação de tecnologia, processos e pessoas. Investir em soluções avançadas de detecção e resposta (EDR/XDR), correlação de eventos e monitoramento 24×7 do ambiente é tão importante quanto treinar equipes internas para reconhecer sinais de comprometimento. Logs centralizados, telemetria detalhada de endpoints e servidores, e revisões periódicas de políticas de acesso aumentam a capacidade de reagir com rapidez.
Para organizações de energia, a pergunta não é mais se surgirão novas famílias de wiper, mas quando e como elas serão usadas. Quanto mais preparado estiver o ambiente – com backups testados, redes segmentadas, visibilidade em tempo real e planos de contingência claros -, menor será o impacto de uma ameaça projetada explicitamente para destruir dados e operar no momento em que a organização estiver menos pronta para responder.