Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Lotus Wiper Malware Targets Venezuelan Energy Systems in Destructive Attack

1 minute de lecture

Mis à jour :

Attaque destructrice : Le malware « Lotus Wiper » frappe le secteur énergétique vénézuélien

Le malware « Lotus Wiper », récemment identifié, a été déployé dans une campagne cybercriminelle hautement ciblée contre le secteur de l’énergie et des services publics au Venezuela entre fin 2025 et début 2026. Contrairement à un ransomware classique, ce programme est purement destructeur et ne contient aucune demande de rançon.

Points clés :

  • Objectif : Rendre les systèmes inopérants via l’effacement systématique des données et des mécanismes de récupération.
  • Méthodologie : L’attaque utilise des scripts batch pour préparer l’environnement, notamment en désactivant les défenses et en vérifiant l’appartenance à un domaine Active Directory.
  • Ciblage : Le malware semble conçu pour des infrastructures utilisant des versions antérieures à Windows 10 (version 1803), témoignant d’une connaissance approfondie du parc informatique cible.
  • Nature de l’attaque : L’activité coïncide avec des tensions géopolitiques dans la région, suggérant une opération de sabotage plutôt qu’une motivation financière.

Vulnérabilités exploitées :

  • Aucune vulnérabilité spécifique (CVE) n’est mentionnée, mais l’attaque abuse de fonctionnalités système natives :
    • diskpart : Utilisé pour nettoyer les disques durs.
    • robocopy : Utilisé pour écraser ou supprimer des répertoires de manière récursive.
    • fsutil : Utilisé pour saturer l’espace disque afin d’empêcher toute restauration.
    • Service UI0Detect : Ciblé pour neutraliser certaines alertes de sécurité sur d’anciennes versions de Windows.

Recommandations :

  • Surveillance accrue : Surveiller étroitement toute activité suspecte sur les partages NETLOGON.
  • Détection comportementale : Alerter sur l’utilisation détournée d’outils d’administration système tels que fsutil, robocopy et diskpart, particulièrement lorsqu’ils sont exécutés via des scripts batch automatisés.
  • Gestion des privilèges : Surveiller les tentatives d’élévation de privilèges et de dump d’identifiants, souvent préalables au déploiement du payload final.
  • Hygiène logicielle : Mettre à jour les systèmes d’exploitation obsolètes (pré-Windows 10 1803) qui présentent des faiblesses exploitées par les scripts d’attaque.

Source

Vous pourriez aimer

Weekly Update 500

plus petit que 1 minute de lecture

Mis à jour :

Bilan personnel : 500 semaines de veille