Pesquisadores da Kaspersky identificaram um malware inédito do tipo wiper, batizado de Lotus Wiper, utilizado em uma campanha altamente destrutiva contra o setor de energia e utilities na Venezuela. Os ataques ocorreram entre o final de 2025 e o início de 2026 e têm como principal objetivo inutilizar completamente os sistemas afetados, sem qualquer indício de motivação financeira.

Diferente de campanhas tradicionais de ransomware, o Lotus Wiper não inclui instruções de pagamento ou extorsão. Isso indica um perfil mais alinhado a operações de sabotagem digital ou ataques com motivação geopolítica. O malware foi detectado em um período de aumento significativo de atividades maliciosas na região, levantando suspeitas de uma campanha altamente direcionada contra infraestruturas críticas.

A cadeia de ataque começa com scripts em batch que preparam o ambiente comprometido para a fase destrutiva. Esses scripts coordenam a execução do ataque em múltiplas máquinas, enfraquecem defesas locais e interrompem operações normais antes de baixar e executar o payload final do wiper. Um dos primeiros passos é a tentativa de desativar o serviço Windows Interactive Services Detection (UI0Detect), indicando que os invasores tinham conhecimento prévio de ambientes legados, já que esse serviço foi removido em versões mais recentes do Windows.

Na sequência, o malware verifica a existência do compartilhamento NETLOGON, comum em ambientes com Active Directory, e tenta acessar arquivos remotos que ajudam a determinar se o sistema faz parte de um domínio corporativo. Essa etapa é crítica para movimentação lateral e execução coordenada dentro da rede. Caso o acesso falhe, o script implementa atrasos aleatórios de até 20 minutos, técnica comum para evitar detecção por soluções de segurança baseadas em comportamento.

Uma vez validado o ambiente, um segundo script entra em ação e executa uma série de comandos nativos do sistema operacional para maximizar o impacto. Entre eles, estão a enumeração de usuários locais, desativação de logins em cache, encerramento de sessões ativas e desativação de interfaces de rede — efetivamente isolando o sistema antes da destruição.

O ataque então avança para a fase mais crítica: a execução de comandos como "diskpart clean all", que apaga completamente todos os discos lógicos identificados. Em paralelo, o malware utiliza ferramentas como robocopy para sobrescrever diretórios e fsutil para criar arquivos que ocupam todo o espaço disponível em disco, dificultando qualquer tentativa de recuperação.

Após essa preparação, o payload principal do Lotus Wiper é executado. Ele remove pontos de restauração, sobrescreve setores físicos dos discos com zeros, limpa registros de journaling (USN) e apaga sistematicamente todos os arquivos presentes nos volumes montados. O resultado é um ambiente completamente inutilizável, exigindo reconstrução total da infraestrutura.

A análise indica que os hackers possuíam conhecimento prévio do ambiente alvo, incluindo uso de sistemas operacionais antigos e estrutura de domínio. Isso sugere que o comprometimento inicial pode ter ocorrido semanas ou até meses antes da fase destrutiva, caracterizando uma operação avançada com persistência e movimentação lateral bem estabelecidas.

Especialistas recomendam que organizações — especialmente em setores críticos — monitorem alterações no compartilhamento NETLOGON, comportamentos relacionados a dumping de credenciais e tentativas de elevação de privilégio, além do uso incomum de ferramentas nativas do Windows como diskpart, robocopy e fsutil, frequentemente exploradas em ataques do tipo “living-off-the-land”.

O caso reforça uma tendência crescente no cenário de ameaças: o uso de malware destrutivo em campanhas direcionadas, muitas vezes associadas a contextos geopolíticos ou operações de sabotagem. Diferente do modelo de monetização via ransomware ou DDoS-as-a-Service, ataques com wipers visam interrupção total de operações, com impactos diretos em serviços essenciais, economia e estabilidade de regiões inteiras.