Des attaques ciblées en milieu énergétique avec un nouveau malware : Lotus
Un malware de type data-wiping, nommé Lotus, a été utilisé l’année dernière lors d’attaques ciblant des organisations énergétiques et de services publics au Venezuela. Les chercheurs de Kaspersky ont analysé ce logiciel malveillant, qui a été téléchargé en décembre dernier depuis une machine située au Venezuela.
Avant d’initier la destruction des données, l’attaquant utilise deux scripts batch. Le premier a pour but de préparer le système en affaiblissant les défenses, tandis que le second empêche le bon fonctionnement des opérations normales.
Le malware Lotus est conçu pour anéantir complètement les systèmes compromis. Il fonctionne en écrasant les disques physiques et en éliminant toute option de récupération. Selon un rapport de Kaspersky, “le wiper supprime les mécanismes de restauration, écrase le contenu des disques physiques et efface systématiquement les fichiers sur les volumes affectés, laissant ainsi le système dans un état irrécupérable.”
Les activités enregistrées coïncident avec des tensions géopolitiques dans la région, culminant le 3 janvier de cette année avec l’arrestation de l’ancien président vénézuélien, Nicolás Maduro. À la mi-décembre 2025, la compagnie pétrolière d’État Petróleos de Venezuela (PDVSA) a subi une cyberattaque qui a paralysé ses systèmes de livraison. L’organisation a imputé l’incident aux États-Unis.
Il est important de noter qu’il n’existe aucune preuve publique indiquant que les systèmes de PDVSA ont été effacés lors de cette attaque, ni de détails concernant la nature de l’attaque.
Phases d’attaque et déploiement du wiper
Le rapport de Kaspersky mentionne que les attaques commencent par l’exécution d’un script batch nommé OhSyncNow.bat. Ce script désactive le service ‘UI0Detect’ de Windows et effectue une vérification de fichiers XML pour synchroniser l’exécution sur les systèmes connectés au domaine.
Un second script, notesreg.bat, s’active sous certaines conditions. Il effectue une énumération des utilisateurs, désactive des comptes par changement de mot de passe, déconnecte les sessions actives, désactive toutes les interfaces réseau et annule les connexions en cache.
Par la suite, le code malveillant énumère les disques et exécute la commande ‘diskpart clean all’ pour les écraser de zéros. L’outil ‘robocopy’ est utilisé pour écraser le contenu des répertoires.
La phase suivante consiste à calculer l’espace libre et à utiliser ‘fsutil’ pour créer un fichier qui remplit le disque, compliquant ainsi la restauration des données effacées. Après avoir préparé l’environnement pour la destruction des données, le script batch déchiffre et exécute le wiper Lotus comme charge finale.
Le fonctionnement du wiper Lotus se fait à un niveau plus bas, en interagissant avec les disques via des appels IOCTL. Il récupère la géométrie des disques, nettoie les journaux USN, efface les points de restauration et écrase les secteurs physiques au-delà des volumes logiques.
Les principales actions du malware incluent :
- Accorder tous les privilèges à son token pour obtenir un accès au niveau administratif.
- Supprimer tous les points de restauration de Windows via l’API de restauration système.
- Écraser les disques physiques en récupérant leur géométrie et en écrasant tous les secteurs avec des zéros.
- Effacer le journal USN pour éliminer toute trace d’activité sur le système de fichiers.
- Supprimer les fichiers en écrasant leur contenu, les renommant aléatoirement et les retirant (ou planifiant leur suppression au redémarrage si verrouillés).
- Répéter les cycles d’effacement de disques et de suppression de points de restauration à plusieurs reprises.
- Mettre à jour les propriétés des disques via IOCTL_DISK_UPDATE_PROPERTIES après le dernier effacement.
Kaspersky suggère aux administrateurs systèmes de surveiller les modifications de partage NETLOGON, les manipulations de UI0Detect, les changements massifs de comptes et la désactivation des interfaces réseau, qui sont tous des activités précurseurs.
Des usages inattendus de ‘diskpart’, ‘robocopy’ et ‘fsutil’ sont également considérés comme des signaux d’alerte. Il est recommandé de maintenir des sauvegardes hors ligne régulières, dont la restaurabilité doit être validée fréquemment, afin de se prémunir contre les wipers et ransomwares.