Pesquisadores da Kaspersky identificaram um novo wiper chamado Lotus Wiper, voltado para o setor de energia e utilidades na Venezuela, com artefatos carregados em um recurso público em meados de dezembro de 2025, conforme análise publicada pela Kaspersky. O malware não possui instruções de pagamento ou mecanismos de extorsão, indicando ausência de motivação financeira e objetivo de apagar permanentemente os dados dos dispositivos.
Cadeia de execução em duas fases
Dois scripts batch são responsáveis por iniciar a fase destrutiva. O primeiro arquivo, OhSyncNow.bat, tenta desabilitar o serviço UI0Detect (presente em versões antigas do Windows) para evitar alertas visíveis. Em seguida, verifica a existência de um arquivo XML remoto em um compartilhamento NETLOGON – cujo caminho inclui o nome da organização alvo – que atua como gatilho de rede para iniciar a execução em sistemas do domínio.
O segundo script, notesreg.bat, enumera contas de usuário locais (exceto algumas, incluindo o nome do departamento de TI da empresa alvo), altera suas senhas para strings aleatórias e as marca como inativas. Em seguida, desabilita logons em cache, encerra sessões ativas, desativa interfaces de rede, executa o comando diskpart clean all para zerar discos, e copia binários do Windows para um diretório de trabalho.
Implantação final
O script executa o binário nstats.exe (disfarçado como executável legítimo do HCL Domino) com os argumentos nevent.exe e ndesign.exe. O primeiro argumento refere-se a um arquivo com criptografia XOR; o conteúdo descriptografado é salvo no segundo arquivo – o wiper final. O nstats.exe tem a única função de descriptografar e restaurar o wiper.
Capacidades destrutivas do Lotus Wiper
Compilado em final de setembro de 2025, o wiper carrega dinamicamente a DLL srclient.dll e utiliza as funções SRSetRestorePoint e SRRemoveRestorePoint para deletar todos os pontos de restauração do sistema. Em seguida, varre todos os discos físicos e escreve zeros em cada setor usando o código IOCTL IOCTL_DISK_GET_DRIVE_GEOMETRY_EX. O processo de zeragem ocorre no início e no final da execução.
Entre as ondas de zeragem, o wiper identifica cada volume montado usando FindFirstVolumeW e FindNextVolumeW, e para cada arquivo (não diretórios) utiliza o código FSCTL_SET_ZERO_DATA para preencher a região do arquivo com zeros. Em seguida, renomeia o arquivo com um nome hexadecimal aleatório e o deleta com DeleteFileW. Se a deleção falha, chama MoveFileExW para mover o arquivo para um destino NULL, com flag para atrasar a deleção até a reinicialização do sistema.
Recomendações da Kaspersky
A Kaspersky recomenda auditoria de permissões e atividades de arquivos em compartilhamentos de domínio, monitoramento do NETLOGON para alterações não autorizadas, e busca por uso incomum de ferramentas nativas do sistema como fsutil, robocopy e diskpart. A empresa também sugere garantir que sistemas vitais e dados possam ser restaurados rapidamente.
