В конце 2025 года и начале 2026-го исследователи компании Kaspersky зафиксировали серию разрушительных кибератак на энергетический и коммунальный сектор Венесуэлы с применением ранее неизвестного инструмента уничтожения данных, получившего название Lotus Wiper. Вредонос не шифрует файлы и не требует выкуп, а полностью выводит системы из строя, что указывает на его немонетарную, вероятно, саботажную направленность.
Новый разрушительный вайпер Lotus Wiper: цели и контекст атак
По данным исследователей, Lotus Wiper применялся в строго целевых операциях против организаций из сегмента energy & utilities, что делает угрозу особенно чувствительной: сбой ИТ-инфраструктуры в этой отрасли напрямую влияет на доступность электроэнергии, воды и других критически важных услуг.
Образец Lotus Wiper был скомпилирован в конце сентября 2025 года и загружен на общедоступную онлайн-платформу в середине декабря с машины, расположенной в Венесуэле. Это совпало с периодом обострения вредоносной активности в регионе, о которой сообщали местные и международные источники. При этом в артефакте отсутствуют какие-либо элементы вымогательства (ransom note, адреса криптокошельков и т.п.), что подтверждает: мотивация атакующих не связана с прямым финансовым вымогательством.
На глобальном фоне эта кампания вписывается в тенденцию применения data wiper-атак для дестабилизации инфраструктуры. Ранее похожие по последствиям инциденты с участием вайперов вроде Shamoon и NotPetya приводили к многомиллиардным убыткам и длительным простоям промышленных и государственных систем.
Цепочка атаки: batch-скрипты, домен Active Directory и NETLOGON
Первый этап: подготовка среды и координация по сети
Атака Lotus Wiper запускается с помощью batch-скрипта, который инициирует многоступенчатую последовательность действий по доставке и запуску основного вайпера. На первом этапе скрипт пытается остановить службу Windows Interactive Services Detection (UI0Detect). Эта служба использовалась в старых версиях Windows для оповещения пользователей о графическом интерфейсе сервисов, работающих в нулевой сессии.
Важно, что UI0Detect удалена из современных версий Windows, начиная с Windows 10 1803. Наличие логики работы с этой службой указывает, что атакующие заранее знали инфраструктуру жертвы и ориентировались на устаревшие версии ОС, что типично для целевых атак на промышленные и государственные сети, где обновления часто откладываются.
Далее скрипт проверяет наличие сетевой шары NETLOGON, типичной для доменов Active Directory, и пытается получить удаленный XML-файл конфигурации. Локально проверяется наличие файла с тем же именем в каталоге C:\lotus или %SystemDrive%\lotus, однако независимо от результата выполняется второй batch-скрипт. По оценке Kaspersky, локальная проверка служит для определения, входит ли машина в домен AD и доступна ли централизованная конфигурация атаки.
Если удаленный файл в NETLOGON не найден, первый скрипт завершает работу. В случае временной недоступности шары предусмотрена случайная задержка до 20 минут с последующей повторной проверкой, что усложняет детектирование по поведенческим признакам и помогает синхронизировать атаку по всей сети.
Второй этап: полное выведение системы из строя
Второй batch-скрипт, если он еще не выполнялся, переходит к активной фазе разрушения. Его задачи:
1. Управление учетными записями и сессиями: скрипт перечисляет локальные учетные записи, отключает кэширование входа (cached logons) и принудительно завершает активные пользовательские сессии. Это снижает шансы администратора оперативно вмешаться в процесс атаки.
2. Нарушение сетевого взаимодействия: отключение сетевых интерфейсов фактически изолирует зараженную систему, затрудняя удаленное реагирование и использование средств централизованного управления.
3. Уничтожение логических дисков: выполняется команда diskpart clean all, которая стирает структуру всех обнаруженных логических дисков. Это один из самых радикальных встроенных в Windows инструментов для уничтожения данных на уровне дисковой разметки.
4. Массовое перезаписывание и удаление файлов: через утилиту robocopy скрипт рекурсивно зеркалирует каталоги, перезаписывая и удаляя существующее содержимое. Далее с помощью fsutil рассчитывается свободное место и создается «заполняющий» файл, полностью занимающий оставшийся объем хранилища. Цель — максимально усложнить восстановление данных и работу механизмов резервного копирования.
Технические возможности Lotus Wiper и последствия для инфраструктуры
После подготовки среды запускается основной компонент — Lotus Wiper. Он выполняет несколько критически важных действий, направленных на окончательное выведение системы из строя:
• Удаление точек восстановления (restore points), что лишает администратора стандартных механизмов отката системы.
• Перезапись физических секторов нулями на всех подключенных дисках, что существенно снижает вероятность успешного восстановления данных даже с помощью специализированных средств.
• Очистка журналов USN (Update Sequence Number) на томах NTFS — это усложняет анализ инцидента и «откат» изменений файловой системы.
• Последовательное удаление системных файлов на каждом смонтированном томе, после чего операционная система становится полностью неработоспособной.
В совокупности эти шаги превращают Lotus Wiper в инструмент максимально разрушительного воздействия на ИТ-инфраструктуру: восстановление возможно только из офлайн-резервных копий и часто требует физической переустановки систем.
Рекомендации по защите энергетического, государственного и корпоративного секторов
Для снижения риска атак типа Lotus Wiper организациям рекомендуется:
1. Мониторинг ключевых артефактов: отслеживать изменения и аномалии, связанные с шарой NETLOGON, попытки сброса политик домена, а также признаки credential dumping и повышения привилегий.
2. Контроль встроенных утилит Windows: на уровне SIEM и EDR настроить детектирование подозрительного использования fsutil, robocopy, diskpart и batch-скриптов, особенно при массовых операциях с дисками и файлами.
3. Актуализация операционных систем: наличие логики, ориентированной на устаревшие версии Windows, показывает, что злоумышленники заранее изучили инфраструктуру. Важно поэтапно выводить из эксплуатации устаревшие ОС и усиливать сегментацию сетей, особенно в промышленных и энергетических средах.
4. Резервное копирование и отработка планов восстановления: критически важно иметь изолированные, регулярно проверяемые резервные копии (в том числе offline), а также тестировать сценарии восстановления после тотального уничтожения данных.
С учетом целевого характера Lotus Wiper и его ориентации на критическую инфраструктуру, организациям, работающим в энергетике, коммунальном хозяйстве и государственном секторе, следует усилить мониторинг доменных контроллеров, сетевых шейров и административной активности. Инвестиции в проактивное обнаружение разрушительных атак сейчас — это снижение риска масштабных сбоев, политических и экономических последствий в будущем.
