Kaspersky研究者らは、ベネズエラのエネルギー・ユーティリティセクターを標的とした、これまで文書化されていない破壊的なマルウェアキャンペーンを発見しました。Lotus Wiperと呼ばれる新しいワイパーが配備され、物理ドライブ全体のデータを永久に破壊し、復旧は不可能です。
ランサムウェアとは異なり、この攻撃には恐喝成分がありません。その唯一の目的は消滅です。
このキャンペーンに関連する成果物は、2025年12月中旬にパブリックマルウェアリポジトリで発見されました。その時期は、カリブ海地域の地政学的緊張が高まっていた時期でした。
特に、国営石油会社ペトレオス・デ・ベネズエラ(PDVSA)がほぼ同じ時期に機能停止を招くサイバー攻撃を受けました。
しかし、その事件とLotus Wiperキャンペーンの間に確認された直接的なリンクは確立されていません。Kaspersky研究者らは、攻撃者が2025年9月後半にワイパーをコンパイルしたと考えており、配備前に数か月間の意図的な準備があったことを示しています。
攻撃は、2つのバッチスクリプト OhSyncNow.bat と notesreg.bat で始まります。これらは最終的なワイパーペイロードが実行される前のオーケストレーション層として機能します。
最初のスクリプト OhSyncNow.bat は、作業ディレクトリを識別し、画面上の警告を抑制するためにWindows Interactive Services検出(UI0Detect)サービスを無効にし、その後、組織のNETLOGONドメイン共有上でリモートXMLフラグファイル(OHSync.xml)をチェックします。
そのリモートファイルの存在がネットワークベースのトリガーとして機能し、ドメイン全体の侵害されたマシンに実行を開始するよう通知します。これは古典的なバックドア調整メカニズムと一致する戦術です。
トリガーされると、notesreg.bat が破壊的な準備フェーズを引き継ぎます。すべてのローカルユーザーアカウントを列挙し、パスワードをランダムな文字列にリセットし、それらを非アクティブとしてマークし、キャッシュされたログインを無効にし、すべてのアクティブセッションを強制的にログオフします。
実行されると、Lotus Wiperはすべてのトークン権限に完全な管理者アクセスを付与し、その後すぐに多段階の破壊シーケンスを開始します。
srclient.dllを動的にロードし、SRSetRestorePointとSRRemoveRestorePointを逆順で呼び出すことで、すべてのWindows System Restore ポイントを削除し、システム上のすべての回復チェックポイントを体系的に削除します。
その後、各物理ドライブを開き、IOCTL_DISK_GET_DRIVE_GEOMETRY_EXを使用してディスクジオメトリを取得し、その後、実行時の開始時と終了時の両方で実行されるプロセスである、すべてのドライブのすべてのセクターに0を書き込みます。
物理ドライブ wiping securelist roundsの間、Lotus WiperはFindFirstVolumeWとFindNextVolumeWを使用してすべてのマウントされたボリュームを列挙します。
これらのスポーニングスレッドは、各ボリュームのUSN変更ジャーナルをクリアし、すべてのファイルを削除します。ファイルはFSCTL_SET_ZERO_DATAを介して0で上書きされ、ランダムな16進文字列に名前変更され、DeleteFileWを使用して削除されます。
削除に抵抗するロックされたファイルの場合、ワイパーはMoveFileExWを遅延削除フラグで呼び出し、次のシステム再起動で削除をキューイングします。その結果、データ、パーティション、復元ポイント、ジャーナルエントリが残らない状態のシステムが残ります。
翻訳元: https://cyberpress.org/lotus-wiper-hits-energy/
