Lotus Wiper ударил по энергетике Венесуэлы: найден новый вайпер, который стирает диски и ломает восстановление

Исследователи Kaspersky описали новую разрушительную вредоносную программу Lotus Wiper, которую применили против организации из энергетического и коммунального сектора Венесуэлы. Атака не была похожа на вымогательство: у злоумышленников не нашли ни требований о выкупе, ни механики для переговоров. Задача выглядела иначе — вывести системы из строя и сделать восстановление максимально тяжёлым.

Lotus Wiper сначала готовит среду к разрушению, а уже потом запускает стирание. Kaspersky пишет, что цепочка начинается с двух BAT-скриптов. Они координируют запуск по сети, ослабляют защиту и мешают нормальной работе узлов. После этого из заранее подготовленных файлов разворачивается финальная нагрузка — сам вайпер.

Самое неприятное — на последнем этапе. Вредонос удаляет точки восстановления, перезаписывает физические диски нулями, очищает журналы USN — это журнал изменений файловой системы NTFS — и затем проходит по томам в поиске файлов для удаления. Итог у Kaspersky сформулирован жёстко: заражённая система остаётся в состоянии, из которого её практически невозможно восстановить штатными средствами.

Один из BAT-файлов использует проверку XML-файла на сетевом ресурсе NETLOGON. Наличие такого файла служит триггером для запуска на машинах в домене. По мнению исследователей, это похоже на классический сетевой механизм управления, когда команда на старт приходит через доступный в инфраструктуре ресурс. Скрипт также умеет ждать до 20 минут и повторять проверку, если общий ресурс временно недоступен.

Следующий шаг — изоляция и блокировка доступа. Скрипт перебирает локальные учётные записи, меняет им пароли, помечает их как неактивные, отключает кэшированные входы в систему, завершает активные сессии и выключает сетевые интерфейсы через netsh. После этого машина теряет связь с внешним миром, а администратору становится заметно сложнее быстро возвратить контроль.

Дальше идёт уже системное разрушение. Скрипты перебирают логические диски и используют diskpart clean all, копируют системные утилиты Windows в рабочую директорию, а затем через robocopy зеркалируют каталоги так, чтобы перезаписывать или удалять содержимое. Под конец на диске создаётся гигантский файл через fsutil, который почти полностью забивает свободное место. Это ещё сильнее усложняет восстановление и мешает аварийным действиям на хосте.

Отдельная деталь указывает на заранее подготовленный доступ к инфраструктуре. Финальный исполняемый файл маскировали под компоненты HCL Domino: в цепочке фигурируют nstats.exe, nevent.exe и ndesign.exe. Kaspersky считает, что эти бинарники пришлось разместить на машине заранее. Это косвенно говорит о том, что злоумышленники сидели в сети ещё до момента разрушительной фазы, а сама атака была спланирована не в спешке.

Lotus Wiper, похоже, создавали под конкретную среду. Один из ранних этапов пытается остановить службу Windows Interactive Services Detection, она же UI0Detect, чтобы скрыть предупреждения о подозрительной активности в фоне. SecurityWeek и Kaspersky обращают внимание, что эта служба характерна для старых версий Windows и была убрана из Windows 10 начиная с версии 1803. Такой штрих обычно говорит о хорошем знании инфраструктуры жертвы.

Временная линия тоже выглядит показательно. Kaspersky пишет, что связанные с атакой артефакты обнаружили на публично доступном ресурсе, куда их загрузили в середине декабря. SecurityWeek добавляет, что сам вайпер, вероятно, был скомпилирован в сентябре 2025 года. BleepingComputer уточняет: загрузка велась с машины, находившейся в Венесуэле. Все эти признаки вместе указывают на точечную кампанию, а не на случайный всплеск массового вредоносного ПО.

Публичных данных, которые позволили бы уверенно назвать исполнителя, пока нет. Kaspersky атрибуцию не раскрывает. Исследователи ограничились указанием на напряжённую обстановку в регионе в конце 2025-го и начале 2026-го. У атакующих был доступ к доменной среде, понимание конфигурации жертвы и инструменты для необратимого вывода систем из строя.