Malware penghapus data yang sebelumnya tidak terdokumentasikan dan diberi nama Lotus, digunakan tahun lalu dalam serangan yang ditargetkan terhadap organisasi energi dan utilitas di Venezuela.
Malware tersebut diunggah ke platform publik pada pertengahan Desember dari sebuah mesin di Venezuela dan telah dianalisis oleh para peneliti di Kaspersky.
Sebelum tahap melumpuhkan, penyerang mengandalkan dua skrip batch yang mempersiapkan sistem untuk muatan akhir dengan melemahkan pertahanan dan menghalangi operasi normal.
Menurut para peneliti, malware penghapus data Lotus dirancang untuk sepenuhnya menghancurkan sistem yang disusupi dengan menimpa drive fisik dan menghilangkan opsi pemulihan.
“Wiper menghapus mekanisme pemulihan, menimpa konten drive fisik, dan secara sistematis menghapus file di seluruh volume yang terpengaruh, yang pada akhirnya membuat sistem berada dalam kondisi yang tidak dapat dipulihkan,” kata Kaspersky dalam laporannya hari ini.
Mengingat waktunya, aktivitas yang diamati ini sejalan dengan ketegangan geopolitik di kawasan, yang mencapai puncaknya tahun ini pada tanggal 3 Januari dengan ditangkapnya presiden Venezuela saat itu, Nicolás Maduro.
Sekitar pertengahan Desember 2025, perusahaan minyak milik negara Petroleos de Venezuela (PDVSA) mengalami krisis. serangan siber yang menonaktifkan sistem pengirimannya. Organisasi tersebut menyalahkan Amerika Serikat atas insiden tersebut.
Perlu dicatat bahwa tidak ada bukti publik yang menunjukkan bahwa sistem PDVSA terhapus dalam serangan tersebut atau rincian tentang sifat serangan tersebut.
Kegiatan pendahuluan
Laporan Kaspersky mencatat bahwa serangan dimulai dengan eksekusi skrip batch (OhSyncNow.bat) yang menonaktifkan Windows ‘Deteksi UI0’ layanan, dan melakukan pemeriksaan file XML untuk mengoordinasikan eksekusi di seluruh sistem yang bergabung dengan domain.
Skrip tahap kedua (notesreg.bat) dijalankan ketika kondisi tertentu terpenuhi. Ini menghitung pengguna, menonaktifkan akun melalui perubahan kata sandi, keluar dari sesi aktif, menonaktifkan semua antarmuka jaringan, dan menonaktifkan login cache.
Kode berbahaya kemudian menghitung drive dan berjalan ‘diskpart bersihkan semua’ untuk menimpanya dengan nol. Itu juga menggunakan ‘robokopi’ untuk menimpa isi direktori, Kaspersky ditemukan.
Pada tahap selanjutnya, ia menghitung ruang kosong dan penggunaannya ‘fsutil‘ untuk membuat file yang memenuhi disk, sehingga lebih sulit memulihkan data yang terhapus.
Setelah menyiapkan lingkungan untuk pemusnahan data dan melakukan beberapa tindakan penghapusan sendiri, skrip batch mendekripsi dan menjalankan wiper Lotus sebagai muatan terakhir.
Penyebaran wiper Lotus
Wiper Lotus beroperasi pada tingkat yang lebih rendah, berinteraksi dengan disk melalui panggilan IOCTL, mengambil geometri disk, menghapus entri jurnal USN, menghapus titik pemulihan, dan menimpa sektor fisik, bukan hanya volume logis.
Malware melakukan beberapa tindakan, yang dirangkum sebagai berikut:
- Mengaktifkan semua hak istimewa dalam tokennya untuk mendapatkan akses tingkat administratif.
- Menghapus semua titik pemulihan Windows menggunakan API Pemulihan Sistem Windows.
- Menghapus drive fisik dengan mengambil geometri disk dan menimpa semua sektor dengan nol.
- Menghapus jurnal USN untuk menghapus jejak aktivitas sistem file.
- Menghapus file dengan memusatkan perhatian pada kontennya, mengganti namanya secara acak, dan menghapusnya (atau menjadwalkan penghapusan saat reboot jika terkunci).
- Mengulangi siklus penghapusan drive dan penghapusan titik pemulihan beberapa kali.
- Memperbarui properti disk menggunakan IOCTL_DISK_UPDATE_PROPERTIES setelah penghapusan terakhir.
Kaspersky menyarankan agar administrator sistem memantau perubahan berbagi NETLOGON, manipulasi UI0Detect, perubahan akun massal, dan penonaktifan antarmuka jaringan, yang semuanya merupakan aktivitas pendahuluan.
Mereka mengatakan penggunaan yang tidak terduga ‘bagian disk,’ ‘robokopi,’ Dan ‘fsutil’ juga merupakan bendera merah.
Rekomendasi umum terhadap wiper dan ransomware adalah dengan memelihara cadangan offline reguler yang kemampuan pemulihannya sering divalidasi.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
