Наприкінці 2025 та на початку 2026 року фахівці Kaspersky зафіксували серію цільових руйнівних кібератак на енергетичний і комунальний сектор Венесуели. У цих інцидентах застосовувався новий інструмент знищення даних, який отримав назву Lotus Wiper. На відміну від класичних програм-вимагачів, він не шифрує файли та не висуває вимог щодо викупу, а повністю виводить ІТ-системи з ладу, що вказує на його саботажний, а не фінансовий характер.
Lotus Wiper та кібератаки на енергетичний сектор Венесуели
За даними дослідників, Lotus Wiper застосовувався виключно проти організацій із сегменту energy & utilities. Це особливо критично, оскільки порушення роботи ІТ-інфраструктури в енергетиці та комунальному господарстві безпосередньо впливає на доступність електроенергії, води та інших базових сервісів для населення й бізнесу.
Зразок Lotus Wiper був скомпільований наприкінці вересня 2025 року, а в середині грудня потрапив на публічний онлайн-сервіс із машини, розташованої у Венесуелі. Цей період збігся з посиленням шкідливої активності в регіоні, про що повідомляли локальні та міжнародні джерела. В артефакті відсутні будь-які елементи, характерні для ransomware (повідомлення з вимогою викупу, криптогаманці тощо), що додатково підтверджує: мотивація атак — деструкція та дестабілізація, а не отримання прибутку.
Кампанія з Lotus Wiper вписується у глобальний тренд використання wiper-атак проти критичної інфраструктури. Подібні інструменти вже застосовувалися в інцидентах на кшталт Shamoon та NotPetya, які, за оцінками публічних звітів, призвели до збитків у розмірі мільярдів доларів та тривалих простоїв виробничих і державних систем у різних країнах.
Ланцюжок атаки Lotus Wiper: Active Directory, NETLOGON та batch-скрипти
Етап 1: підготовка середовища та координація в домені
Початковий запуск Lotus Wiper здійснюється через batch-скрипт, який запускає багатоступеневий ланцюжок доставки та виконання основного вайпера. На першому етапі скрипт намагається зупинити службу Windows Interactive Services Detection (UI0Detect), що в старих версіях Windows відповідала за взаємодію з сервісами в нульовій сесії.
Службу UI0Detect було видалено з сучасних версій Windows, починаючи з Windows 10 1803. Отже, наявність логіки роботи з нею свідчить, що зловмисники заздалегідь вивчили інфраструктуру жертви та орієнтувались на застарілі ОС. Подібна ситуація типова для промислових та державних мереж, де оновлення систем часто відкладаються через залежність від легасі-додатків.
Далі скрипт перевіряє наявність мережевої шари NETLOGON, яка використовується в доменах Active Directory для розповсюдження скриптів входу та політик. З неї намагаються завантажити віддалений XML-файл конфігурації. Локально перевіряється, чи існує файл із тим самим ім’ям у каталозі C:\lotus або %SystemDrive%\lotus, але незалежно від результату запускається другий batch-скрипт. На думку аналітиків, така перевірка дозволяє визначити, чи є машина частиною домену та чи доступна централізована конфігурація атаки.
Якщо віддалений файл у NETLOGON недоступний, перший скрипт завершує роботу. На випадок тимчасового збою реалізовано випадкову затримку до 20 хвилин з подальшою повторною перевіркою. Це ускладнює виявлення атаки за часовими кореляціями в журналах та полегшує синхронізацію одночасного ураження великої кількості систем у домені.
Етап 2: повне виведення системи з ладу
Другий batch-скрипт переходить до активної фази руйнування середовища. Його основні завдання включають:
1. Робота з обліковими записами та сесіями. Скрипт перелічує локальні облікові записи, відключає кешування облікових даних (cached logons) та примусово завершує активні користувацькі сесії, зменшуючи шанси адміністраторів оперативно втрутитися.
2. Порушення мережевої взаємодії. Вимкнення мережевих інтерфейсів фактично ізолює хост, ускладнюючи використання засобів віддаленого адміністрування, систем централізованого моніторингу та засобів реагування.
3. Знищення логічних дисків. Команда diskpart clean all стирає структуру всіх доступних логічних дисків, видаляючи розмітку та службову інформацію — це один із найбільш радикальних вбудованих інструментів Windows для знищення вмісту накопичувачів.
4. Масове перезаписування та видалення даних. Через утиліту robocopy виконується рекурсивне «дзеркалювання» каталогів із перезаписом наявних файлів, після чого за допомогою fsutil обчислюється вільний простір і створюється заповнювальний файл, що займає увесь залишок диску. Такий підхід суттєво ускладнює відновлення даних навіть із використанням резервних копій.
Можливості Lotus Wiper та ризики для критичної інфраструктури
Після підготовчого етапу запускається основний компонент Lotus Wiper, який завершує процес руйнування системи. Серед його функцій:
• Видалення точок відновлення Windows, що позбавляє адміністраторів стандартних засобів відкату системи до попереднього стану.
• Перезапис фізичних секторів нулями на всіх підключених дисках, різко знижуючи шанси на успішне відновлення інформації навіть спеціалізованими лабораторіями.
• Очищення журналів USN (Update Sequence Number) на NTFS-томах, що ускладнює форензик-аналіз інциденту, відстеження змін файлової системи та побудову повної картини атаки.
• Цілеспрямоване видалення системних файлів на кожному змонтованому томі, після чого операційна система стає непрацездатною, а відновлення можливе лише з повноцінних офлайн-резервних копій або шляхом повного перевстановлення.
Показово, що Lotus Wiper активно використовує вбудовані інструменти Windows — так звані living-off-the-land binaries (LOLBins), зокрема diskpart, robocopy та fsutil. Це ускладнює детектування, оскільки окремо такі утиліти є легітимними адміністративними засобами. Факт використання NETLOGON і доменної інфраструктури вказує, що зловмисники, ймовірно, завчасно здобули високі привілеї в мережі (наприклад, компрометували облікові записи адміністраторів домену), а саме розгортання вайпера стало фінальним етапом більш тривалої кампанії вторгнення.
Рекомендації із захисту енергетичних, державних та корпоративних організацій
1. Посилений моніторинг доменної інфраструктури. Необхідно відстежувати активність навколо шари NETLOGON, зміни скриптів входу та групових політик, а також ознаки credential dumping та ескалації привілеїв на контролерах домену.
2. Контроль використання вбудованих інструментів Windows. Системи SIEM та EDR мають детектувати нетипове використання diskpart, fsutil, robocopy і batch-скриптів, особливо при масових операціях із дисками, точками монтування та великою кількістю файлів.
3. Актуалізація ОС та сегментація мережі. Фокус Lotus Wiper на легасі-системах показує, що застарілі версії Windows залишаються «легкою мішенню». Організаціям критичної інфраструктури варто планово виводити з експлуатації застарілі платформи, ізолювати OT/ICS-сегменти та мінімізувати прямий доступ до них із корпоративної мережі.
4. Надійне резервне копіювання. Ключовим фактором стійкості до wiper-атак є наявність ізольованих (у тому числі offline або immutable) резервних копій, регулярне тестування сценаріїв відновлення та зберігання копій поза основним доменним середовищем.
5. Готовність до інцидентів руйнівного типу. План реагування на інциденти має окремо враховувати сценарії повного знищення даних: процедури швидкого відключення сегментів мережі, пріоритети відновлення сервісів, комунікацію з регуляторами та клієнтами, а також заздалегідь відпрацьовані «tabletop» вправи.
Lotus Wiper демонструє, що wiper-атаки проти критичної інфраструктури більше не є гіпотетичним ризиком, а практикою, здатною спричинити масштабні соціально-економічні наслідки. Організаціям у сфері енергетики, комунального господарства та державного управління варто вже зараз переоцінити свою готовність до таких сценаріїв: посилити моніторинг доменної інфраструктури, мінімізувати залежність від легасі-систем, інвестувати в відмовостійке резервне копіювання та проактивне виявлення руйнівних атак. Чим раніше буде зроблено ці кроки, тим вищими будуть шанси зберегти безперервність критичних послуг у разі наступної хвилі деструктивної кіберзагрози.
