Récemment, on a signalé la découverte d'un logiciel malveillant d'effacement de données de masse qui n'avait pas été documenté publiquement jusqu'à présent et qui, selon les chercheurs, avait été utilisé dans des attaques ciblées contre des organisations d'énergie et de services au Venezuela. L'analyse technique, publiée par Kaspersky, montre une opération multi-phases conçue pour laisser les machines et les serveurs dans un état irréparable : d'abord, les mécanismes de défense sont désactivés et les options de récupération sont sabotées, puis la phase finale, dans laquelle le code détruit les disques à un niveau bas.
Les détails techniques expliqués par les analystes révèlent une chaîne d'outils et de scripts qui agissent comme préparation au sol. À partir d'un premier script batch, les services Windows sont neutralisés et des contrôles sont effectués pour coordonner l'exécution des équipements liés à un domaine. Un deuxième script élargit les actions : liste les comptes locaux, force les changements de mot de passe à les désactiver, ferme les sessions actives, coupe les interfaces réseau et annule les connexions stockées, rendant la réponse humaine et la récupération à distance difficile.
En plus de ces actions administratives, les attaquants ont recours à des utilitaires système légitimes - des outils qui sont habituellement utilisés par les administrateurs - pour supprimer et écraser le contenu : la partie disque est invoquée pour exécuter « tout nettoyer » et remplir les secteurs avec des zéros, la robocopie est utilisée pour écraser les fichiers et fsubtle est utilisé pour créer des fichiers qui occupent l'espace disque libre, ce qui complique encore plus toute tentative de restauration des données. Kaspersky décrit comment, après ces manœuvres initiales, le script défigure et lance l'exécutable final du projet, baptisé par des chercheurs comme Lotus. Vous pouvez lire le rapport technique dans la publication même du laboratoire: Kaspersky Securelist sur Lotus.
Ce qui distingue Lotus est qu'il ne se limite pas à la suppression de fichiers au niveau du système de fichiers : il fonctionne à un niveau plus profond grâce à des appels IOCTL au disque physique, obtient la géométrie du disque, nettoie les entrées de journaux USN et élimine les points de restauration. Le composant d'effacement écrase les secteurs physiques complets - pas seulement les volumes logiques - et répète les cycles d'enlèvement et de suppression des points de restauration jusqu'à ce que l'appareil soit laissé dans un état où les techniques habituelles de récupération sont inefficaces. En parallèle, l'essuie-glaces lève ses privilèges pour assurer un accès administratif complet et applique des techniques telles que le renommage aléatoire des fichiers et l'écrasement de son contenu avec des zéros avant de les supprimer ou de planifier leur suppression dans le démarrage s'ils sont bloqués.
Le schéma opérationnel décrit par les experts dessine une campagne ciblée et calculée: le binaire Lotus a été téléchargé sur une plate-forme publique à la mi-décembre d'une machine située au Venezuela, et son comportement s'inscrit dans les tactiques utilisées lors d'attaques destructrices précédentes, dans lesquelles l'intention n'est pas de secourir économique mais l'élimination irréversible des données et l'interruption prolongée des services critiques.
Kaspersky souligne également le contexte : l'apparition de logiciels malveillants coïncide avec un moment de tension géopolitique élevée dans la région et avec des reportages médiatiques d'incidents qui ont affecté l'infrastructure énergétique à des dates rapprochées. Cependant, les chercheurs soulignent qu'il n'existe aucune preuve publique permettant d'attribuer directement tous ces incidents à l'utilisation de cette essuie-glaces ou de confirmer que des organisations particulières ont été totalement effacées par Lotus.
Du point de vue de la détection et de la réponse, les indicateurs qui ressortent du rapport devraient constituer une priorité pour les gestionnaires de la sécurité et les équipements : changements inhabituels dans le partage de NETLOGON, manipulation de services tels que UI0Detect, modifications massives des comptes d'utilisateurs, déconnexion ou désactivation des interfaces réseau et utilisation inattendue et massive d'outils tels que la partie disque, la robocopie ou le fsubtle précèdent souvent la détonation de la charge destructrice. La surveillance de la télémétrie dans ces zones et la corrélation avec d'autres signaux d'engagement peuvent permettre d'arrêter la campagne avant que la suppression de bas niveau ne soit effectuée.
Sur le plan pratique, les recommandations de base ne diffèrent pas des bonnes pratiques contre les programmes destructeurs : conserver les sauvegardes déconnectées et déconnectées, vérifier régulièrement que ces copies sont restituables, limiter l'utilisation des comptes avec des privilèges et vérifier les changements qui y sont apportés, appliquer les principes de privilège minimum dans les environnements productifs et déployer une détection avancée qui identifie l'abus des bénéfices légitimes du système. En ce qui concerne les guides opérationnels et les ressources de défense pour faire face à ces menaces, les organismes de sécurité et les centres d'intervention ont publié des recommandations ouvertes qui doivent être examinées, comme celles compilées par l'Agence des États-Unis pour l'infrastructure et la cybersécurité (US Infrastructure and Cybersecurity Agency). CISA - StopRansomware).
L'affaire Lotus rappelle que les menaces destructrices demeurent un outil efficace dans les cyberconflits et que la défense nécessite une combinaison de prévention technique, de bonnes pratiques administratives et de préparation opérationnelle. Les équipes chargées de l'infrastructure critique devraient privilégier la visibilité des changements dans l'environnement et la conservation sécuritaire des copies de données, car une fois qu'une essuie-glaces agissant au niveau physique commence à fonctionner, les options de récupération sont considérablement réduites.
Si vous souhaitez approfondir l'analyse technique et les indicateurs d'engagement que Kaspersky a publiés, vous pouvez consulter le rapport original sur votre blog: Kaspersky - Essuie-glaces Lotus. Pour les mesures générales de préparation et d'intervention de Ransomware et de Wipers, les ressources de la CISA constituent un bon point de départ : https: / / www.cisa.gov / stopransomware.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...