Malware Lotus Wiper tấn công ngành năng lượng Venezuela trước sự can thiệp của Mỹ

Malware Lotus Wiper tấn công ngành năng lượng Venezuela trước sự can thiệp của Mỹ

Công ty an ninh mạng Kaspersky vừa đưa ra cảnh báo về một mối đe dọa mạng mới sử dụng phần mềm tẩy dữ liệu (wiper) để tấn công vào lĩnh vực năng lượng và tiện ích. Cuộc tấn công này nhắm mục tiêu vào một tổ chức tại Venezuela và sử dụng hai tập lệnh batch để làm suy yếu hệ thống phòng thủ, gây gián đoạn hoạt động trước khi triển khai tải trọng (payload) cuối cùng là Lotus Wiper.

Hệ thống lưới điện bị tấn công mạng

Theo Kaspersky, phần mềm độc hại này có khả năng loại bỏ các cơ chế phục hồi, ghi đè nội dung của các ổ đĩa vật lý và xóa có hệ thống các tệp tin trên tất cả các ổ bị ảnh hưởng, cuối cùng để lại hệ thống trong một trạng thái không thể khôi phục.

Chiến thuật tấn công phức tạp

Lotus Wiper được cho là đã được biên dịch vào tháng 9 năm 2025 và các thành phần liên quan đã được tải lên một nền tảng công cộng vào giữa tháng 12. Sự vắng mặt của các hướng dẫn thanh toán hay phương thức tống tiền, cùng với việc malware xuất hiện trong giai đoạn gia tăng hoạt động nhắm vào ngành năng lượng Venezuela, cho thấy đây là một cuộc tấn công có mục tiêu rất cao.

Mã độc và an ninh mạng

Chuỗi thực thi của Lotus Wiper bắt đầu bằng một tập lệnh batch cố gắng dừng dịch vụ Windows cũ Interactive Services Detection (UI0Detect). Mục đích là để ngăn chặn các cảnh báo hiển thị cho người dùng về hoạt động độc hại đang diễn ra trong nền. Tập lệnh này dường như được xây dựng để chạy trên các phiên bản Windows cũ hơn vẫn còn chạy UI0Detect, vì dịch vụ này đã bị loại khỏi hệ điều hành kể từ Windows 10 phiên bản 1803.

Ngoài ra, tập lệnh đầu tiên này còn kiểm tra một tệp trên chia sẻ NETLOGON, mã hóa tên tổ chức nạn nhân vào một biến để xây dựng đường dẫn tệp. Nếu tệp này và một tệp cục bộ tương ứng tồn tại, nó sẽ thực thi tập lệnh batch thứ hai. Kaspersky giải thích rằng logic này hoạt động như một kích hoạt dựa trên mạng, trong đó sự hiện diện của tệp XML từ xa đóng vai trò là tín hiệu điều khiển để khởi chạy thực thi trên các hệ thống trong miền.

Tác động tàn phá

Tập lệnh thứ hai thực hiện các hành động tàn phá nghiêm trọng. Nó liệt kê các tài khoản người dùng cục bộ, thay đổi mật khẩu của họ, vô hiệu hóa đăng nhập được lưu trong bộ nhớ cache, đăng xuất các phiên hoạt động và vô hiệu hóa các giao diện mạng để ngăn chặn quyền truy cập vào thiết bị.

Nó cũng liệt kê các ổ đĩa logic, xóa sạch nội dung của chúng, sao chép các tệp nhị phân của Windows sang một thư mục làm việc, phản ánh các thư mục để ghi đè nội dung hiện có hoặc xóa chúng, đồng thời tính toán dung lượng trống khả dụng để lấp đầy nó bằng một tệp lớn, làm cạn kiệt dung lượng lưu trữ.

Sau đó, nó chạy một tệp thực thi, dẫn đến việc lấy và thực thi Lotus Wiper. Kaspersky nhận định rằng kẻ tấn công có khả năng đã có quyền truy cập trước vào hệ thống bị xâm phạm, vì tệp nhị phân đã được chuẩn bị (staged) trước khi cuộc tấn công diễn ra.

"Wiper này cho phép tất cả các đặc quyền trong mã thông báo hiện tại của nó để truy cập các chức năng quản trị (dựa trên các quyền nâng cao đã có sẵn trước đó), xóa các điểm khôi phục và xóa sạch mọi ổ đĩa vật lý bằng cách ghi tất cả số 0 vào các sector của nó. Sau đó, nó xóa các số thứ tự cập nhật (USN) của nhật ký ổ đĩa và cuối cùng, quét tất cả các ổ đĩa để tìm kiếm tệp để xóa," Kaspersky mô tả.

Bối cảnh địa chính trị

Mặc dù công ty an ninh mạng chưa chia sẻ thông tin về sự quy kết (attribution), họ đã nhắc đến "căng thẳng địa chính trị xảy ra ở khu vực Caribe vào cuối năm 2025 và đầu năm 2026". Đáng chú ý, theo một số báo cáo, việc Mỹ triệt xuất Tổng thống Venezuela Nicolas Maduro vào đầu tháng 1 năm 2026 đã liên quan đến các cuộc tấn công mạng nhằm gây mất điện và vô hiệu hóa radar phòng không.

Sự xuất hiện của Lotus Wiper trong bối cảnh này cho thấy các mối đe dọa mạng ngày càng được sử dụng như một công cụ trong các xung đột địa chính trị, nhắm vào các cơ sở hạ tầng quan trọng để gây ra sự hỗn loạn tối đa.