🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um malware de limpeza de dados anteriormente não documentado, denominado Lotus, foi usado no ano passado em ataques direcionados contra organizações de energia e serviços públicos na Venezuela.
O malware foi carregado em uma plataforma disponível publicamente em meados de dezembro, a partir de uma máquina na Venezuela, e foi analisado por pesquisadores da Kaspersky.
Antes do estágio de paralisação, o invasor depende de dois scripts em lote que preparam o sistema para a carga final, enfraquecendo as defesas e obstruindo as operações normais.
De acordo com os pesquisadores, o malware de limpeza de dados do Lotus foi projetado para destruir completamente os sistemas comprometidos, substituindo unidades físicas e eliminando opções de recuperação.
“O limpador remove mecanismos de recuperação, sobrescreve o conteúdo das unidades físicas e exclui sistematicamente arquivos nos volumes afetados, deixando o sistema em um estado irrecuperável”, afirma a Kaspersky em um relatório divulgado hoje.
Dado o momento, a atividade observada alinha-se com as tensões geopolíticas na região, que culminaram este ano, em 3 de janeiro, com a captura do então presidente da Venezuela, Nicolás Maduro.
Por volta de meados de dezembro de 2025, a empresa petrolífera estatal Petróleos de Venezuela (PDVSA) sofreu um ataque cibernético que desativou os seus sistemas de distribuição. A organização culpou os Estados Unidos pelo incidente.
Deve-se notar que não há evidências públicas indicando que os sistemas da PDVSA tenham sido apagados no ataque ou detalhes sobre a natureza do ataque.
Atividade preliminar
O relatório da Kaspersky observa que os ataques começam com a execução de um script em lote (OhSyncNow.bat) que desativa o serviço ‘UI0Detect’ do Windows e executa uma verificação de arquivo XML para coordenar a execução em sistemas associados ao domínio.
Um script de segundo estágio (notesreg.bat) é executado quando determinadas condições são atendidas. Ele enumera usuários, desativa contas por meio de alterações de senha, faz logoff de sessões ativas, desativa todas as interfaces de rede e desativa logins em cache.
O código malicioso então enumera as unidades e executa ‘diskpart clean all’ para substituí-las por zeros. Ele também usa ‘robocopy’ para substituir o conteúdo do diretório, descobriu a Kaspersky.
Na próxima fase, calcula o espaço livre e usa ‘fsutil’ para criar um arquivo que preenche o disco, dificultando a restauração dos dados apagados.
Depois de preparar o ambiente para destruição de dados e executar algumas ações de limpeza, o script em lote descriptografa e executa o limpador do Lotus como a carga final.
Implantação do limpador Lotus
O limpador do Lotus opera em um nível inferior, interagindo com discos por meio de chamadas IOCTL, recuperando a geometria do disco, limpando entradas de diário USN, limpando pontos de restauração e sobrescrevendo setores físicos, não apenas volumes lógicos.
O malware executa diversas ações, resumidas a seguir:
Permite que todos os privilégios em seu token obtenham acesso de nível administrativo.
Exclui todos os pontos de restauração do Windows usando a API de restauração do sistema do Windows.
Limpa unidades físicas recuperando a geometria do disco e substituindo todos os setores por zeros.
Limpa o diário USN para remover vestígios de atividade do sistema de arquivos.
Exclui arquivos zerando seu conteúdo, renomeando-os aleatoriamente e removendo-os (ou agendando a exclusão na reinicialização, se bloqueado).
Repete ciclos de limpeza de unidade e exclusão de ponto de restauração várias vezes.
Atualiza as propriedades do disco usando IOCTL_DISK_UPDATE_PROPERTIES após a limpeza final.
A Kaspersky sugere que os administradores do sistema monitorem alterações no compartilhamento NETLOGON, manipulação do UI0Detect, alterações em massa nas contas e desativação de interfaces de rede, que são atividades precursoras.
Eles dizem que o uso inesperado de ‘diskpart’, ‘robocopy’ e ‘fsutil’ também é um sinal de alerta.
Uma recomendação geral contra limpadores e ransomware é manter backups off-line regulares cuja capacidade de restauração seja frequentemente validada.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O malware foi carregado em uma plataforma disponível publicamente em meados de dezembro, a partir de uma máquina na Venezuela, e foi analisado por pesquisadores da Kaspersky.
Antes do estágio de paralisação, o invasor depende de dois scripts em lote que preparam o sistema para a carga final, enfraquecendo as defesas e obstruindo as operações normais.
De acordo com os pesquisadores, o malware de limpeza de dados do Lotus foi projetado para destruir completamente os sistemas comprometidos, substituindo unidades físicas e eliminando opções de recuperação.
“O limpador remove mecanismos de recuperação, sobrescreve o conteúdo das unidades físicas e exclui sistematicamente arquivos nos volumes afetados, deixando o sistema em um estado irrecuperável”, afirma a Kaspersky em um relatório divulgado hoje.
Dado o momento, a atividade observada alinha-se com as tensões geopolíticas na região, que culminaram este ano, em 3 de janeiro, com a captura do então presidente da Venezuela, Nicolás Maduro.
Por volta de meados de dezembro de 2025, a empresa petrolífera estatal Petróleos de Venezuela (PDVSA) sofreu um ataque cibernético que desativou os seus sistemas de distribuição. A organização culpou os Estados Unidos pelo incidente.
Deve-se notar que não há evidências públicas indicando que os sistemas da PDVSA tenham sido apagados no ataque ou detalhes sobre a natureza do ataque.
Atividade preliminar
O relatório da Kaspersky observa que os ataques começam com a execução de um script em lote (OhSyncNow.bat) que desativa o serviço ‘UI0Detect’ do Windows e executa uma verificação de arquivo XML para coordenar a execução em sistemas associados ao domínio.
Um script de segundo estágio (notesreg.bat) é executado quando determinadas condições são atendidas. Ele enumera usuários, desativa contas por meio de alterações de senha, faz logoff de sessões ativas, desativa todas as interfaces de rede e desativa logins em cache.
O código malicioso então enumera as unidades e executa ‘diskpart clean all’ para substituí-las por zeros. Ele também usa ‘robocopy’ para substituir o conteúdo do diretório, descobriu a Kaspersky.
Na próxima fase, calcula o espaço livre e usa ‘fsutil’ para criar um arquivo que preenche o disco, dificultando a restauração dos dados apagados.
Depois de preparar o ambiente para destruição de dados e executar algumas ações de limpeza, o script em lote descriptografa e executa o limpador do Lotus como a carga final.
Implantação do limpador Lotus
O limpador do Lotus opera em um nível inferior, interagindo com discos por meio de chamadas IOCTL, recuperando a geometria do disco, limpando entradas de diário USN, limpando pontos de restauração e sobrescrevendo setores físicos, não apenas volumes lógicos.
O malware executa diversas ações, resumidas a seguir:
Permite que todos os privilégios em seu token obtenham acesso de nível administrativo.
Exclui todos os pontos de restauração do Windows usando a API de restauração do sistema do Windows.
Limpa unidades físicas recuperando a geometria do disco e substituindo todos os setores por zeros.
Limpa o diário USN para remover vestígios de atividade do sistema de arquivos.
Exclui arquivos zerando seu conteúdo, renomeando-os aleatoriamente e removendo-os (ou agendando a exclusão na reinicialização, se bloqueado).
Repete ciclos de limpeza de unidade e exclusão de ponto de restauração várias vezes.
Atualiza as propriedades do disco usando IOCTL_DISK_UPDATE_PROPERTIES após a limpeza final.
A Kaspersky sugere que os administradores do sistema monitorem alterações no compartilhamento NETLOGON, manipulação do UI0Detect, alterações em massa nas contas e desativação de interfaces de rede, que são atividades precursoras.
Eles dizem que o uso inesperado de ‘diskpart’, ‘robocopy’ e ‘fsutil’ também é um sinal de alerta.
Uma recomendação geral contra limpadores e ransomware é manter backups off-line regulares cuja capacidade de restauração seja frequentemente validada.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #novo #limpador #de #dados #da #lotus #usado #contra #empresas #venezuelanas #de #energia #e #serviços #públicos
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário