Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Limpiaparabrisas Lotus

Limpiaparabrisas Lotus

Por Mezo en Software malicioso
Traducir a:

Analistas de ciberseguridad han identificado un malware de borrado de datos hasta ahora desconocido, conocido como Lotus Wiper, que se desplegó en ataques dirigidos contra el sector energético y de servicios públicos de Venezuela entre finales de 2025 y principios de 2026. Este malware está diseñado para causar la máxima destrucción, dejando los sistemas infectados completamente inoperables.

Ejecución coordinada de ataques: despliegue en múltiples etapas

El ataque se basa en dos scripts por lotes que orquestan una operación cuidadosamente planificada. Estos scripts sincronizan las actividades en la red, debilitan las defensas del sistema e interrumpen las operaciones normales antes de ejecutar la carga útil final. Su función incluye recuperar, desofuscar y ejecutar el componente de borrado, lo que garantiza una transición fluida a la fase destructiva.

Destrucción sistemática: cómo funciona el limpiaparabrisas Lotus

Una vez activado, Lotus Wiper ejecuta un proceso integral de borrado de datos que elimina tanto la funcionalidad del sistema como las opciones de recuperación. Sus capacidades destructivas incluyen:

  • Eliminación de los mecanismos de recuperación, incluidos los puntos de restauración.
  • Sobrescribir sectores de la unidad física con datos inicializados a cero.
  • Eliminación de archivos en todos los volúmenes montados.
  • Eliminación de los números de secuencia de actualización (USN) en las revistas por volumen

En conjunto, estas medidas garantizan que los sistemas afectados no puedan ser restaurados ni reconstruidos por medios convencionales.

Indicadores de intención: No hay motivación financiera.

A diferencia del ransomware, Lotus Wiper no contiene mensajes de extorsión ni instrucciones de pago. Esta ausencia sugiere firmemente que la campaña no responde a objetivos financieros, sino a motivos de sabotaje o geopolíticos. Cabe destacar que la muestra de malware se publicó a mediados de diciembre de 2025 desde un sistema venezolano, poco antes de la actividad militar estadounidense en enero de 2026. Si bien no se ha confirmado un vínculo directo, la coincidencia temporal se debe al aumento de informes sobre actividad cibernética dirigida al mismo sector, lo que indica una operación altamente focalizada.

Ataque a sistemas heredados: Explotación de entornos obsoletos

La cadena de ataque comienza con un script por lotes que inicia un proceso de varias etapas. Una de sus primeras acciones consiste en intentar deshabilitar el servicio de Detección de Servicios Interactivos de Windows (UI0Detect). Este servicio, eliminado en las versiones modernas de Windows posteriores a la versión 1803 de Windows 10, indica que el malware está diseñado específicamente para atacar sistemas operativos más antiguos.

El script también comprueba la existencia de un recurso compartido NETLOGON y recupera un archivo XML remoto. Compara este archivo con una versión almacenada localmente en directorios como C:\lotus o %SystemDrive%\lotus. Este comportamiento probablemente determina si el sistema forma parte de un dominio de Active Directory. Si el archivo remoto no está disponible, el script finaliza; de lo contrario, continúa tras introducir una posible demora aleatoria de hasta 20 minutos para intentar restablecer la conexión.

Preparación del entorno: Desactivación e interrupción de sistemas

El segundo script prepara el sistema comprometido para su destrucción debilitando sistemáticamente su estado operativo. Sus acciones incluyen:

  • Enumerar las cuentas de usuario locales y deshabilitar las credenciales almacenadas en caché.
  • Cerrar sesión en las sesiones de usuario activas
  • Deshabilitar las interfaces de red
  • Ejecutar el comando diskpart clean all para borrar las unidades lógicas.

Además, aprovecha utilidades nativas de Windows como robocopy para sobrescribir o eliminar archivos y fsutil para crear archivos grandes que consumen todo el espacio disponible en el disco, lo que impide de hecho los esfuerzos de recuperación.

Ejecución de la carga útil final: Daño irreversible

Tras la preparación, se implementa la carga útil Lotus Wiper. Esta completa el proceso de destrucción eliminando los puntos de restauración, sobrescribiendo los sectores físicos, borrando los registros del diario y eliminando todos los archivos del sistema en los volúmenes montados. En esta etapa, la recuperación se vuelve prácticamente imposible sin copias de seguridad externas.

Recomendaciones defensivas: Monitoreo y mitigación

Las organizaciones, en particular las que operan en sectores de infraestructura crítica, deben adoptar estrategias proactivas de monitoreo y detección. Las áreas clave en las que centrarse incluyen:

Supervisión de los cambios en los recursos compartidos de NETLOGON
Detección de intentos de extracción de credenciales o escalada de privilegios
Seguimiento del uso inusual de herramientas nativas como fsutil, robocopy y diskpart.

Perspectiva estratégica: evidencia de compromiso previo

La presencia de funcionalidades adaptadas a entornos Windows obsoletos sugiere un reconocimiento previo y un acceso prolongado. Es probable que los atacantes tuvieran un conocimiento detallado de la infraestructura objetivo y que hubieran comprometido los entornos del dominio mucho antes de iniciar la fase destructiva.

Tendencias

Estafa por correo electrónico de confirmación de...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen una acción urgente siempre deben tratarse con precaución. Los ciberdelincuentes suelen disfrazar mensajes maliciosos como notificaciones legítimas para aprovecharse de la confianza y generar pánico. Es fundamental tener en cuenta que estafas como los correos electrónicos de «Confirmación de nueva actualización de seguridad de privacidad» no están...

Mas Visto

Cargando...