Security

Malware Penghapus Data Lotus Serang Perusahaan Energi dan Utilitas Venezuela

5 hours ago
3 minutes read

Sebuah malware penghapus data (data-wiper) yang sebelumnya tidak terdokumentasi, dijuluki Lotus, dilaporkan telah digunakan tahun lalu dalam serangkaian serangan tertarget terhadap organisasi energi dan utilitas di Venezuela.

Malware tersebut diunggah ke platform publik pada pertengahan Desember dari sebuah mesin yang berlokasi di Venezuela dan telah dianalisis secara mendalam oleh para peneliti di Kaspersky.

Sebelum memasuki tahap pelumpuhan, aktor ancaman mengandalkan dua skrip batch yang bertugas mempersiapkan sistem untuk eksekusi muatan akhir dengan cara melemahkan pertahanan dan menghalangi operasi normal perangkat.

Menurut para peneliti, malware penghapus data Lotus ini memang dirancang khusus untuk menghancurkan sistem yang disusupi secara total dengan menimpa (overwriting) kandar fisik (physical drives) dan memusnahkan semua opsi pemulihan.

“Penghapus data ini menghapus mekanisme pemulihan, menimpa konten kandar fisik, dan secara sistematis menghapus fail di seluruh volume yang terdampak, yang pada akhirnya membuat sistem berada dalam kondisi yang sama sekali tidak dapat dipulihkan,” ungkap Kaspersky dalam laporannya hari ini.

Mengingat waktu kejadiannya, aktivitas siber destruktif ini sejalan dengan ketegangan geopolitik di kawasan tersebut, yang mencapai puncaknya tahun ini pada tanggal 3 Januari dengan penangkapan presiden Venezuela saat itu, Nicolás Maduro.

Sekitar pertengahan Desember 2025, perusahaan minyak milik negara, Petróleos de Venezuela (PDVSA), dilaporkan mengalami serangan siber yang melumpuhkan sistem pengirimannya. Organisasi tersebut secara terbuka menyalahkan Amerika Serikat atas insiden itu. Kendati demikian, perlu dicatat bahwa hingga saat ini tidak ada bukti publik yang secara langsung menunjukkan bahwa sistem PDVSA dihapus menggunakan malware ini, atau rincian pasti mengenai sifat serangan tersebut.

Aktivitas Pendahuluan dan Eksekusi Bertahap

Laporan Kaspersky merinci bahwa serangan berawal dari eksekusi skrip batch (OhSyncNow.bat) yang menonaktifkan layanan Windows Interactive Services Detection (‘UI0Detect’). Skrip ini juga melakukan pemeriksaan fail XML untuk mengoordinasikan eksekusi secara serentak di seluruh sistem yang tergabung dalam domain jaringan.

Skrip tahap kedua (notesreg.bat) kemudian dieksekusi ketika kondisi tertentu terpenuhi. Skrip ini akan mendaftar pengguna, menonaktifkan akun melalui modifikasi kata sandi, mengeluarkan sesi yang sedang aktif, menonaktifkan seluruh antarmuka jaringan, dan mematikan info masuk yang di-cache (cached logins).

Kode berbahaya tersebut kemudian membaca kandar dan menjalankan perintah diskpart clean all untuk menimpa partisi disk dengan angka nol. Tim Kaspersky juga menemukan penggunaan utilitas robocopy untuk menimpa konten direktori sistem.

Pada fase berikutnya, malware ini menghitung sisa ruang kosong dan menggunakan fsutil untuk membuat fail sampah yang memenuhi disk, sebuah taktik untuk membuat data yang terhapus menjadi lebih sulit—bahkan mustahil—untuk dipulihkan melalui forensik digital.

Setelah lingkungan siap untuk penghancuran data dan beberapa tindakan penghapusan awal selesai, skrip batch ini akan mendekripsi dan mengeksekusi penghapus data Lotus sebagai muatan pamungkas.

Cara Kerja dan Dampak Penghapus Data Lotus

Tidak seperti banyak malware biasa, wiper Lotus beroperasi pada tingkat level sistem yang lebih rendah. Ia berinteraksi langsung dengan disk melalui panggilan Input/Output Control (IOCTL), mengambil geometri disk, membersihkan entri jurnal Update Sequence Number (USN), menghapus titik pemulihan, dan menimpa sektor fisik secara utuh, bukan hanya pada volume logisnya.

Berikut adalah rangkuman tindakan destruktif yang dilakukan oleh malware ini:

  • Eskalasi Hak Istimewa: Mengaktifkan semua hak istimewa dalam tokennya untuk mendapatkan akses tingkat administratif penuh.
  • Sabotase Pemulihan: Menghapus semua titik pemulihan Windows (restore points) secara permanen menggunakan API Windows System Restore.
  • Penghapusan Fisik: Memusnahkan data pada kandar fisik dengan mengambil geometri disk dan menimpa seluruh sektor menggunakan angka nol.
  • Pembersihan Jejak: Membersihkan jurnal USN untuk menghapus jejak aktivitas sistem fail.
  • Manipulasi Fail: Menghapus fail dengan mengenolkan isinya, mengganti nama fail secara acak, lalu menghapusnya (atau menjadwalkan penghapusan saat sistem melakukan reboot jika fail sedang dikunci sistem).
  • Pengulangan Siklus: Memastikan kehancuran dengan mengulang siklus penghapusan kandar dan titik pemulihan ini beberapa kali.
  • Pembaruan Properti: Memperbarui properti disk menggunakan IOCTL_DISK_UPDATE_PROPERTIES setelah proses penghapusan final selesai.

Untuk upaya mitigasi, Kaspersky menyarankan agar para administrator sistem mewaspadai bendera merah (red flags) berupa penggunaan tidak terduga dari utilitas seperti diskpart, robocopy, dan fsutil. Administrator juga harus memantau secara ketat setiap perubahan pada berbagi NETLOGON, manipulasi layanan UI0Detect, modifikasi akun secara massal, serta penonaktifan antarmuka jaringan yang mencurigakan.

Rekomendasi pertahanan paling krusial untuk melawan malware tipe wiper maupun ransomware adalah dengan secara rutin memelihara cadangan data luring (offline backups) yang terisolasi dari jaringan utama dan memastikan keandalannya dengan rutin menguji proses pemulihannya.

Tags
5 hours ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button