Detectan en internet un virus para atacar al sector energético: sustituye datos por ceros y deja redes bloqueadas
Se hicieron públicos archivos del peligroso virus destructor meses después del ataque.
En Venezuela se detectó un nuevo malware borrador Lotus Wiper, dirigido al sector energético y de servicios públicos. Los archivos relacionados con el ataque se publicaron en acceso abierto en diciembre de 2025. El programa no exige rescate ni cifra los datos. Su objetivo es otro: borrar completamente la información y dejar los sistemas inoperativos sin posibilidad de recuperación.
Según el informe del Laboratorio Kaspersky, Lotus Wiper formó parte de una cadena más compleja. Dos scripts preparan primero el sistema para el ataque. Desactivan mecanismos de protección, cierran sesiones de usuarios, bloquean interfaces de red y cambian las contraseñas de las cuentas. Luego el malware ejecuta comandos para borrar completamente los discos y, además, rellena el espacio libre con datos basura.
Antes de activar la carga principal, los scripts comprueban la existencia de un archivo especial en la carpeta de red NETLOGON. Ese archivo actúa como señal para iniciar simultáneamente el ataque en todas las máquinas del dominio. El enfoque indica un acceso preparado de antemano a la infraestructura.
El módulo final de Lotus Wiper elimina los puntos de restauración de Windows y luego sobrescribe varias veces el contenido de los discos físicos con ceros. Al mismo tiempo, el programa recorre todos los volúmenes, borra archivos, los renombra aleatoriamente y los elimina. Si no es posible eliminar un archivo de inmediato, el malware planea eliminarlo en el siguiente reinicio. Además, se limpia el registro de cambios para ocultar huellas.
El análisis mostró que el malware se compiló en septiembre de 2025 y se aplicó varios meses después. El código está diseñado para versiones antiguas de Windows: eso indica un buen conocimiento de la infraestructura de la víctima. Este tipo de ataques no busca obtener dinero, sino causar destrucción.