Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Essuie-glace Lotus

Essuie-glace Lotus

Par Mezo en Logiciels malveillants
Se traduisent par :

Des analystes en cybersécurité ont identifié un logiciel malveillant d'effacement de données jusqu'alors inconnu, désormais connu sous le nom de Lotus Wiper, déployé lors d'attaques ciblées contre le secteur de l'énergie et des services publics du Venezuela entre fin 2025 et début 2026. Ce logiciel malveillant est conçu pour une destruction maximale, rendant les systèmes infectés totalement inopérants.

Exécution d’attaques coordonnées : déploiement en plusieurs étapes

L'attaque repose sur deux scripts batch qui orchestrent une opération soigneusement planifiée. Ces scripts synchronisent les activités sur le réseau, affaiblissent les défenses du système et perturbent son fonctionnement normal avant de lancer la charge utile finale. Leur rôle consiste notamment à récupérer, désobfusquer et exécuter le composant de suppression, assurant ainsi une transition fluide vers la phase de destruction.

Destruction systématique : Comment fonctionne Lotus Wiper

Une fois activé, Lotus Wiper exécute un processus complet d'effacement des données qui supprime à la fois les fonctionnalités du système et les possibilités de récupération. Ses capacités de destruction incluent :

  • Suppression des mécanismes de récupération, y compris les points de restauration
  • Écrasement des secteurs du disque physique avec des données nulles
  • Suppression de fichiers sur tous les volumes montés
  • Suppression des numéros de séquence de mise à jour (USN) dans les revues de volume

Ces mesures collectives garantissent que les systèmes affectés ne peuvent être restaurés ou reconstruits par des moyens conventionnels.

Indicateurs d’intention : non motivé par des raisons financières

Contrairement aux rançongiciels, Lotus Wiper ne contient aucun message d'extorsion ni instruction de paiement. Cette absence suggère fortement que la campagne n'est pas motivée par des objectifs financiers, mais plutôt par des actes de sabotage ou des raisons géopolitiques. Il est à noter que l'échantillon de logiciel malveillant a été mis en ligne publiquement mi-décembre 2025 depuis un système vénézuélien, peu avant une opération militaire américaine en janvier 2026. Bien qu'aucun lien direct n'ait été confirmé, cette période coïncide avec une recrudescence des cyberattaques ciblant le même secteur, ce qui indique une opération très ciblée.

Ciblage des systèmes existants : Exploitation des environnements obsolètes

La chaîne d'attaque débute par un script batch qui lance un processus en plusieurs étapes. L'une de ses premières actions consiste à tenter de désactiver le service de détection des services interactifs Windows (UI0Detect). Ce service, supprimé dans les versions modernes de Windows postérieures à Windows 10 version 1803, indique que le logiciel malveillant est spécifiquement conçu pour cibler les anciens systèmes d'exploitation.

Le script vérifie également la présence d'un partage NETLOGON et récupère un fichier XML distant. Il compare ce fichier avec une version stockée localement dans des répertoires tels que C:\lotus ou %SystemDrive%\lotus. Ce comportement permet probablement de déterminer si le système fait partie d'un domaine Active Directory. Si le fichier distant est indisponible, le script s'arrête ; sinon, il se poursuit après un délai aléatoire pouvant aller jusqu'à 20 minutes pour tenter de rétablir la connexion.

Préparation de l’environnement : Désactivation et perturbation des systèmes

Le second script prépare le système compromis à la destruction en affaiblissant systématiquement son état de fonctionnement. Ses actions comprennent :

  • Énumération des comptes d'utilisateurs locaux et désactivation des informations d'identification mises en cache
  • Déconnexion des sessions utilisateur actives
  • Désactivation des interfaces réseau
  • Exécuter la commande diskpart clean all pour effacer les lecteurs logiques

De plus, il exploite des utilitaires Windows natifs tels que robocopy pour écraser ou supprimer des fichiers et fsutil pour créer des fichiers volumineux qui consomment tout l'espace disque disponible, empêchant ainsi efficacement toute tentative de récupération.

Exécution finale de la charge utile : Dommages irréversibles

Après la préparation, le programme Lotus Wiper est déployé. Il achève le processus de destruction en supprimant les points de restauration, en écrasant les secteurs physiques, en effaçant les enregistrements du journal et en supprimant tous les fichiers système sur les volumes montés. À ce stade, la récupération devient pratiquement impossible sans sauvegardes externes.

Recommandations défensives : surveillance et atténuation

Les organisations, notamment celles des secteurs d'infrastructures critiques, devraient adopter des stratégies proactives de surveillance et de détection. Les principaux axes de travail sont les suivants :

Surveillance des modifications des actions NETLOGON
Détection des tentatives de vol d'identifiants ou d'élévation de privilèges
Suivi de l'utilisation inhabituelle d'outils natifs tels que fsutil, robocopy et diskpart

Analyse stratégique : Preuve de compromission antérieure

La présence de fonctionnalités adaptées aux environnements Windows obsolètes suggère une reconnaissance préalable et un accès prolongé. Les attaquants disposaient probablement d'une connaissance approfondie de l'infrastructure ciblée et ont pu compromettre les environnements de domaine bien avant de lancer la phase de destruction.

Tendance

Confirmation de la nouvelle mise à jour de sécurité...

Hameçonnage, Courrier indésirable
Les courriels inattendus exigeant une action urgente doivent toujours être traités avec prudence. Les cybercriminels dissimulent fréquemment des messages malveillants sous forme de notifications légitimes afin d'exploiter la confiance et de semer la panique. Il est essentiel de comprendre que les arnaques telles que les courriels « Confirmer une nouvelle mise à jour de sécurité de la...

Le plus regardé

Chargement...