ベネズエラのエネルギー・公共事業企業に対して使用された新しいLotusデータ削除マルウェア

Lotusという名称の、これまで報告されていないデータ削除マルウェアが、昨年ベネズエラのエネルギー・公共事業組織に対する標的型攻撃で使用されました。

マルウェアはベネズエラのマシンから12月中旬に公開プラットフォームにアップロードされ、Kasperskyの研究者によって分析されました。

機能停止段階の前に、攻撃者は防御を弱め、通常の操作を妨害することで、システムを最終的なペイロードの準備をする2つのバッチスクリプトに依存しています。

研究者によると、Lotusデータ削除マルウェアは、物理ドライブを上書きし、回復オプションを排除することにより、侵害されたシステムを完全に破壊するように設計されています。

「削除ツールは回復メカニズムを削除し、物理ドライブの内容を上書きし、影響を受けたボリューム全体のファイルを体系的に削除し、最終的にシステムを復旧不可能な状態にします」とKasperskyは本日のレポートで述べています。

タイミングを考えると、観察された活動は、この年の1月3日にベネズエラの当時の大統領であるニコラス・マドゥーロの捕捉で頂点に達した、地域の地政学的緊張と一致しています。

2025年12月中旬、国営石油会社ペトロレオス・デ・ベネズエラ（PDVSA）は、配信システムを無効化するサイバー攻撃を受けました。同組織はこのインシデントについて米国を非難しました。

PDVSAのシステムが攻撃で削除されたこと、または攻撃の性質に関する詳細を示す公開証拠はないことに注意すべきです。

準備活動

Kasperskyのレポートは、攻撃がWindows‘UI0Detect’サービスを無効化するバッチスクリプト（OhSyncNow.bat）の実行で始まり、ドメイン参加システム全体での実行を調整するためにXMLファイルチェックを実行することに注意しています。

第2段階のスクリプト（notesreg.bat）は、特定の条件が満たされたときに実行されます。ユーザーを列挙し、パスワード変更を介してアカウントを無効化し、アクティブなセッションをログオフし、すべてのネットワークインターフェースを無効化し、キャッシュされたログインを無効化します。

悪意のあるコードはドライブを列挙し、‘diskpart clean all’を実行してゼロで上書きします。また、‘robocopy’を使用してディレクトリの内容を上書きすることもKasperskyが発見しました。

次の段階では、空き領域を計算し、‘fsutil‘を使用してディスクを満たすファイルを作成し、削除されたデータの復元を難しくします。

データ破壊のための環境を準備し、自らいくつかの削除アクションを実行した後、バッチスクリプトは最終的なペイロードとしてLotus削除ツールを復号化して実行します。

Lotus削除ツールの展開

Lotus削除ツールはより低いレベルで動作し、IOCTLコールを介してディスクと相互作用し、ディスク幾何学を取得し、USNジャーナルエントリをクリアし、復元ポイントを削除し、論理ボリュームだけでなく物理セクターを上書きします。

マルウェアは複数のアクションを実行し、以下のようにまとめられます：

• トークン内のすべての権限を有効化して、管理者レベルのアクセスを取得します。
• Windows System Restore APIを使用してすべてのWindowsの復元ポイントを削除します。
• ディスク幾何学を取得し、すべてのセクターをゼロで上書きして、物理ドライブを削除します。
• USNジャーナルをクリアして、ファイルシステムアクティビティのトレースを削除します。
• ファイルの内容をゼロにし、ランダムに名前を変更し、削除することでファイルを削除します（またはロックされている場合は再起動時の削除をスケジュールします）。
• ドライブ削除と復元ポイント削除のサイクルを複数回繰り返します。
• 最終的な削除の後、IOCTL_DISK_UPDATE_PROPERTIESを使用してディスク属性を更新します。

Kasperskyは、システム管理者がNETLOGON共有の変更、UI0Detect操作、大量のアカウント変更、およびネットワークインターフェースの無効化を監視すべきであることを示唆しており、これらはすべての先駆的な活動です。

彼らは、‘diskpart’、‘robocopy’、および‘fsutil’の予期しない使用も赤信号であると述べています。

削除ツールとランサムウェアに対する一般的な推奨事項は、復旧可能性が頻繁に検証される定期的なオフラインバックアップを維持することです。