出典: JBula_62 via Shutterstock
昨年後半、ベネズエラのエネルギーとユーティリティ部門を標的とした悪意のあるサイバー攻撃からのソフトウェアアーティファクトの分析により、その攻撃は「ランド・オフ・ザ・ランド(LOTL)」技術を大規模に利用し、ランサムウェアコンポーネントを欠いており、重要なデータを念入りに特定して削除していたことが明らかになりました。
「公に利用可能なリソース」で発見され2025年12月にアップロードされたそのソフトウェアは、2つのバッチスクリプトを使用してターゲットのネットワーク全体の攻撃を調整し、システムの防御を破壊し、インシデント対応を妨害していました。これはすべて最終ステップへの前置きでした。先週サイバーセキュリティ企業Kaspersky Labが発表した分析によると、それは以前に未知のワイパープログラム「ロータスワイパー」の実行でした。サンプルはもともと2025年9月後半にコンパイルされており、同社は他の攻撃の一部として追加のサンプルを発見していません。
ロータスワイパーはシステムデータの破壊と運用の混乱に効果的である、と同社は述べました。
「ワイパーはリカバリメカニズムを削除し、物理ドライブの内容を上書きし、影響を受けるボリューム全体のファイルを体系的に削除し、最終的にシステムを回復不可能な状態にする」とサイバーセキュリティ企業の研究者は分析で述べています。
ロータスワイパー攻撃は、ベネズエラのエネルギー企業とユーティリティが最新の標的である、破壊的なマルウェアの最新型です。これは国家間の実際の紛争に関連したデータ削除サイバー攻撃です。2012年、サウジアラビアの国営石油ガス大手サウディ・アラムコはシャムーンデータ削除マルウェアによって3万システムをロックされました。これはイランに帰属しています。2017年のNotPetya攻撃はウクライナの会計ソフトウェアプロバイダーで始まりました。その後世界中に広がりました。ロシアとウクライナの両国は、ロシアが2014年にクリミアを最初に占領し、2022年から始まったウクライナへの継続的な侵攻後、ワイパーベースのサイバー攻撃を交換しているようです。
今年初め、研究者は12月後半のポーランドの電力網に対するワイパー攻撃をロシアのSandwormグループに帰属させました。それは同じ月の重要インフラに対する2つの異なるワイパー攻撃です。と、アプリケーションセキュリティ企業Black Duckのシニアディレクター、コリン・ホーグスピアーズ氏は言います。
「異なるアクター、異なる地域、同じ意図」と彼は言います。
米国によるサイバー攻撃か?
Kaspersky Labはロータスワイパー攻撃をいかなるアクターにも帰属させず、被害者を特定しませんでした。同社はその研究またはその攻撃の出典についてのさらなるコメントを拒否しました。
しかし、ロータスワイパーのタイミングは、ベネズエラ国営石油企業ペトロレオス・デ・ベネズエラSA(PDVSA)への12月13日の疑わしきランサムウェア攻撃に続く12月の混乱と一致しています。同社は米国を攻撃の責任者と非難し、その運用は影響を受けなかったと主張しましたが、独立した報道ではタンカーへの石油の積み込みが停止していたことが詳細に報告されました。
「この侵略行為は、米国政府がベネズエラの石油を力と海賊行為で奪取するという公開戦略に加算される」と同社は12月15日の通告で述べました(Anthropicのクロードを介して翻訳)。「炭化水素産業の労働者階級は過去にこの性質の攻撃に直面しています。まさに彼らのコミットメント、専門知識、そして忠誠心が、この新しい攻撃を検出して中和することを可能にしたのです。」
同社のドメイン、pdvsa.comはファイルのペイロードの一部であり、それをターゲットされた組織として指定していると、Black DuckのHogue-Spears氏は付け加えています。
ワイパー攻撃がさまざまな国家間紛争のサイバー兵器になってきたことは驚くべきことではありません。破壊的な攻撃は、初期アクセスを物理的な結果に変える簡単な方法だからです。と、産業OTサイバーセキュリティ企業Dragosの著名なマルウェア分析者ジミー・ワイリー氏は言います。
「ベネズエラの攻撃は、脅威グループが安価だが効果的な技術に依存するというより大きなトレンドの継続です」と彼は言います。「ワイパーマルウェアは単に最小限の開発時間で仕事を成し遂げます。」
一方、ロータスワイパー攻撃のアクターはターゲットのインフラとネットワークを詳しく調べるために著しい忍耐力を示しました。これは資金が乏しいセキュリティチーム、特に重要インフラのチームにとって問題だと、サイバーセキュリティサービス企業Suzu LabsのシニアディレクターJacob Krell氏は言います。
「多くの重要なエネルギーとユーティリティ組織は、十分な資源を持つ国家レベルのアクターの能力に対して準備不足のままです」と彼は言います。「ロータスワイパー運用者は数ヶ月間環境内に滞在し、破壊段階を実行する前にバイナリをステージングし、地形を準備していました。その滞在時間はそのギャップを明らかにしています。」
ユーティリティセキュリティはセグメンテーションから始まる
すべての企業は異なりますが、重要インフラと産業企業はリモートアクセスを保護し、ネットワーク上の異常に対する可視性を確保し、インシデントが発生した場合に迅速に対応する準備ができていることを確認する必要があります。と、Dragosのワイリー氏は言います。
「攻撃者が悪意を持って標準的なWindowsユーティリティを実行してシステムをワイプしているのであれば、すでに検出について考えるには遅いのです」と彼は言います。「つまり、攻撃チェーンの早い段階で彼らを止めなければなりません。」
重要インフラセキュリティは、サイバー攻撃からの運用上の損害を防ぐために、いくつかの基本的な保護をいくつか優先する必要があります。運用技術(OT)ネットワークをエンタープライズITシステムからセグメント化することで、侵害が産業制御システム(ICS)とOTネットワークに影響を与えることを防ぎます。と、Suzu LabsのKrell氏は言います。最後に、攻撃者の手の届かないところに保存された不変バックアップが重要です、と彼は言います。
「世界はデジタル戦争の時代に突入しており、これらの操作は、サイバー効果が従来の軍事的エスカレーションなしに戦略的影響を与えることができることを示しています」と彼は言います。「これは、サイバーレジリエンス計画がコア・リスク要因として地政学的角度を組み込む必要があることを意味しています。組織はもはやサイバー脅威を純粋に技術的なものとして扱うことはできず、国家レベルのプレイブックへの曝露を評価する必要があります。」
翻訳元: https://www.darkreading.com/cyber-risk/lotus-wiper-attack-targeted-venezuelan-energy-firms-utilities
