No final de 2025 e princípios de 2026 pesquisadores em cibersegurança identificaram um malware destrutivo até agora não documentado que foi empregado em uma série de ataques direcionados contra o setor energético e de serviços públicos na Venezuela. O artefato, batizado pelas análises como Lotus Wiper, não busca extorsão: seu desenho aponta para deixar sistemas inutilizáveis ao eliminar mecanismos de recuperação e sobrepor tanto arquivos quanto setores físicos do disco.
De acordo com a pesquisa publicada pela assinatura que o rastreio, a campanha combina scripts em lotes com um executável final que atua como um rascunho massivo de dados. Os programas iniciais são encarregados de coordenar o início da ação através da rede, degradar defesas locais e preparar o terreno para a execução do wiper. Entre as operações preparatórias encontram-se deter serviços específicos do sistema, verificar e recuperar arquivos de recursos compartilhados de domínio, e executar comandos nativos do Windows tanto para apagar volumes como para forçar o preenchimento do armazenamento e assim dificultar qualquer recuperação.
Um detalhe técnico relevante é que o código tenta interagir com a detecção de serviços interativos do Windows (conhecido como UI0Detect). Essa funcionalidade foi eliminada em versões modernas do sistema operacional, sugerindo que o script foi concebido para máquinas anteriores ao Windows 10 versão 1803. Essa faixa, somada ao uso de verificações sobre a partilha NETLOGON típica de domínios Active Directory, indica que os atacantes conheciam a topologia e antiguidade do ambiente alvo e provavelmente tinham obtido persistência no domínio com suficiente antecedência.
Na cadeia de ataque incorpora-se a execução de utilitários legítimos do próprio sistema para conseguir a destruição. Ferramentas como o DISKPART (com a operação "clean all"), ROBOCOPY e FSUTIL são aproveitadas para limpar discos, sobrepor arquivos e consumir o espaço livre até deixar o volume sem capacidade para operar corretamente. O wiper posterior completa o trabalho eliminando pontos de restauração, escrevendo zeros em setores físicos e reseteando registros como o USN journal dos volumes, deixando o sistema em um estado desde o qual é muito difícil recuperar dados sem cópias de segurança limpas.
A amostra analisada foi compilada em setembro de 2025 e, segundo registros públicos, foi subida a uma plataforma acessível de uma máquina na Venezuela em dezembro de 2025, semanas antes de se registrar uma ação militar americana no país no início de janeiro de 2026. Os investigadores assinalam a coincidência temporária, mas evitam estabelecer uma relação direta sem mais evidência, embora salientam que o aumento ocorreu num período com um aumento de relatórios públicos sobre atividade maliciosa contra o mesmo setor e região.
Para os responsáveis pela segurança e administradores, isto levanta uma série de pontos de atenção práticos. Em primeiro lugar, a observação de mudanças em compartições NETLOGON, acessos anormais ao controlador de domínio ou sinais de escalada de privilégios devem ser tratadas com prioridade máxima. Da mesma forma, o uso incomum de utilidades nativas como diskpart, roubocopy ou fsutil em servidores e estações de trabalho sensíveis é um indicador de compromisso que merece pesquisa imediata.
Além da detecção, a mitigação requer medidas preventivas clássicas, mas efetivas: segmentação de redes para limitar o alcance de um domínio comprometido, princípios de privilégio mínimo, endurecimento de controladores de domínio e políticas de acesso para recursos críticos. Contar com cópias de segurança isoladas, verificadas e com testes de restauração regulares pode marcar a diferença frente a um wiper que aborre tanto os dados como os pontos de recuperação locais. Os guias e ferramentas públicas para resposta a ataques destrutivos e ransomware oferecem bons marcos de atuação; por exemplo, as recomendações das autoridades para se protegerem contra o ransomware e ataques semelhantes contêm medidas aplicáveis nesses casos: CISA – StopRansomware.
Para pesquisadores e equipamentos de detecção, conservar evidências e logs antes de limpar sistemas é essencial para entender vetores e alcance. Registrar e correlacionar atividade em controladores de domínio, eventos de PowerShell, chamadas a APIs críticas e comandos do sistema ajuda a reconstruir a intrusão. Os provedores de segurança costumam publicar indicadores e táticas, técnicas e procedimentos (TTP) após investigar incidentes deste tipo; neste caso, o relatório que identificou o wiper provém de uma empresa de segurança reconhecida que analisa ameaças ativas a nível global: Kaspersky.
Por último, convém lembrar que os atacantes empregados nessas campanhas nem sempre respondem a motivações econômicas: a ausência de demandas de resgate e a contundência da remoção apontam para objetivos de sabotagem ou coerção. Em ambientes críticos como a energia, onde a disponibilidade é fundamental, a combinação de inteligência, proteção preventiva e preparação para a recuperação é a melhor defesa contra ferramentas tão agressivas como Lotus Wiper.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...