Lotus Wiper emerge come una delle minacce più distruttive osservate nel 2026, colpendo il settore energetico e delle utilities in Venezuela con un approccio mirato alla cancellazione totale dei dati. Il malware non utilizza crittografia né richieste di riscatto, ma sovrascrive i dischi con zeri rendendo impossibile qualsiasi recupero. L’operazione dimostra una preparazione lunga e una conoscenza profonda dell’infrastruttura target, con attaccanti che sfruttano strumenti Windows legittimi per mascherare le proprie attività. Il risultato è un attacco progettato per interrompere la continuità operativa di infrastrutture critiche.
Cosa leggere
Kaspersky identifica Lotus Wiper come malware distruttivo avanzato
Gli analisti hanno individuato Lotus Wiper durante attività di threat hunting, riconoscendolo come un wiper puro progettato esclusivamente per la distruzione dei dati. Il malware opera in più fasi, eliminando prima i punti di ripristino di Windows e successivamente sovrascrivendo i dischi fisici. A differenza del ransomware, non esiste alcuna possibilità di recupero o negoziazione. La sequenza di operazioni viene ripetuta per garantire che anche eventuali meccanismi di backup locali vengano neutralizzati. Questa metodologia evidenzia un obiettivo chiaro: sabotaggio e interruzione dei servizi.
Funzionamento tecnico del wiper e cancellazione dei dati
Il malware utilizza API di sistema per gestire i dischi e i punti di ripristino, eseguendo operazioni di basso livello sui volumi. I file vengono rinominati con identificatori casuali e successivamente eliminati, mentre i settori del disco vengono sovrascritti con zeri. Il processo include la pulizia del journal delle modifiche e la scansione di tutti i volumi montati, con thread dedicati per massimizzare la velocità di distruzione. L’uso di funzioni native del sistema operativo rende il comportamento difficile da bloccare e altamente efficace anche su sistemi legacy.
Script batch orchestrano attacchi su reti Active Directory
La campagna utilizza script batch per coordinare l’attacco all’interno di ambienti Active Directory. Script come OhSyncNow.bat e notesreg.bat preparano i sistemi disabilitando servizi, modificando password e interrompendo le connessioni di rete. Queste operazioni isolano le macchine prima della fase distruttiva, impedendo interventi di emergenza. Gli script sfruttano comandi di sistema per cancellare dati e saturare lo spazio disco, creando condizioni ideali per l’esecuzione del wiper. L’autodistruzione degli script dopo l’esecuzione riduce ulteriormente le tracce dell’attacco.
Uso di binari legittimi e tecniche di sideloading
Gli attaccanti sfruttano strumenti Windows legittimi come robocopy, fsutil e diskpart per eseguire operazioni critiche senza generare sospetti. Il payload finale viene eseguito tramite tecniche di sideloading, utilizzando binari fidati per caricare codice malevolo. Il wiper si presenta come un processo apparentemente legittimo, aumentando la difficoltà di rilevamento. Questa strategia dimostra una conoscenza approfondita delle difese aziendali e delle modalità per aggirarle.
Trigger di rete e preparazione dell’ambiente
Un elemento chiave dell’attacco è l’uso di un file remoto come trigger per l’esecuzione. Gli script verificano la presenza di questo marker su share di dominio per decidere quando avviare l’operazione. Prima della distruzione, vengono disabilitate interfacce di rete e servizi, garantendo che il sistema resti isolato. Questo approccio indica che gli attaccanti avevano accesso persistente all’infrastruttura e hanno preparato l’operazione con largo anticipo.
Somiglianze con NotPetya e altri wiper storici
Lotus Wiper richiama attacchi distruttivi come NotPetya e HermeticWiper per l’approccio basato sulla cancellazione irreversibile dei dati. Come questi precedenti, il malware utilizza strumenti legittimi e tecniche consolidate per massimizzare l’impatto. Tuttavia, si distingue per l’orchestrazione tramite script batch e per il targeting specifico del settore energetico venezuelano. Questo dimostra un’evoluzione delle tecniche di sabotaggio informatico in contesti geopolitici sensibili.
Impatto sul settore energetico venezuelano
Il settore energetico rappresenta un’infrastruttura critica per la stabilità economica e sociale del Venezuela. Un attacco di questo tipo può interrompere servizi essenziali e causare danni significativi a lungo termine. La distruzione dei dati e dei sistemi operativi rende difficile il ripristino rapido delle operazioni, aumentando l’impatto complessivo. Le organizzazioni coinvolte devono affrontare non solo la perdita di dati ma anche la ricostruzione completa dell’infrastruttura.
Raccomandazioni per mitigare attacchi wiper
Le aziende devono rafforzare i controlli sulle share di dominio e monitorare modifiche sospette ai file di configurazione. È essenziale rilevare l’uso anomalo di strumenti come fsutil, robocopy e diskpart, oltre a monitorare cambiamenti nelle password e nei servizi di sistema. L’adozione di backup offline e testati rappresenta la misura più efficace per garantire la continuità operativa. Sistemi di monitoraggio avanzati possono identificare attività preparatorie prima che l’attacco venga eseguito.
Lotus Wiper evidenzia l’evoluzione delle minacce distruttive
Il caso Lotus Wiper conferma che gli attacchi distruttivi stanno tornando come strumento di pressione geopolitica. L’uso di tecniche avanzate e strumenti legittimi rende queste operazioni difficili da rilevare e contrastare. Le organizzazioni devono adottare strategie di difesa proattive per affrontare un panorama di minacce in cui la distruzione dei dati è l’obiettivo principale. L’evoluzione di questi attacchi indica una crescente sofisticazione e una maggiore integrazione con contesti geopolitici globali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
