AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nuevo malware ‘Lotus’ borra datos en ataques dirigidos a sector energético venezolano**

admin

### 1. Introducción

En el transcurso del pasado año, el sector energético y de servicios públicos de Venezuela fue objeto de una serie de ciberataques altamente dirigidos que emplearon una amenaza hasta ahora no documentada: el malware de borrado de datos denominado “Lotus”. Este incidente pone de manifiesto la creciente sofisticación de las campañas maliciosas contra infraestructuras críticas en América Latina y subraya la importancia de reforzar las medidas de ciberseguridad en sectores estratégicos.

### 2. Contexto del Incidente o Vulnerabilidad

El descubrimiento de “Lotus” se produjo tras una investigación forense de varios incidentes en organizaciones venezolanas responsables de la producción y distribución de energía eléctrica y de agua. Según fuentes de inteligencia, los ataques fueron identificados inicialmente en el segundo semestre de 2023, coincidiendo con otras actividades APT (Amenaza Persistente Avanzada) en la región, y tuvieron como objetivo sistemas OT (tecnología operativa) y entornos IT críticos para garantizar la continuidad del suministro energético.

Lo destacable de estos ataques es su naturaleza selectiva y la utilización de un malware hasta ese momento desconocido, lo que sugiere una planificación meticulosa y un reconocimiento previo de los objetivos. Las organizaciones afectadas forman parte del eslabón más sensible de la infraestructura nacional, lo que agrava la criticidad de la situación.

### 3. Detalles Técnicos

El malware “Lotus” ha sido clasificado como un data wiper, es decir, su función principal es la destrucción irreversible de la información residente en los sistemas comprometidos. Hasta el momento, no se ha identificado un CVE específico asociado a la vulnerabilidad explotada para la infección inicial, aunque las evidencias apuntan a la explotación de credenciales débiles y sistemas expuestos en redes internas y perimetrales.

#### Vectores de ataque y TTPs

– **Acceso inicial:** Se detectó el uso de credenciales comprometidas y posibles exploits contra servicios Windows SMB y RDP expuestos, en línea con la táctica de Initial Access (TA0001) del framework MITRE ATT&CK.
– **Ejecución:** Una vez dentro, los atacantes utilizaron scripts PowerShell y herramientas legítimas del sistema (“living-off-the-land”), minimizando la detección por soluciones antimalware tradicionales.
– **Despliegue del wiper:** Lotus es ejecutado mediante servicios de Windows y tareas programadas, aprovechando privilegios elevados obtenidos tras la explotación lateral (TA0008).
– **Acciones sobre el objetivo:** El malware sobrescribe los archivos en disco y borra los registros de eventos, dificultando la recuperación forense (T1485 – Data Destruction).

#### Indicadores de Compromiso (IoC)

– Hashes SHA256 únicos de ejecutables de Lotus.
– Directorios inusuales de ejecución en “C:ProgramDataLotus”.
– Tráfico anómalo hacia C2s con IPs asociadas a proveedores offshore.
– Creación de tareas programadas denominadas “SystemLotus”.

#### Herramientas y Frameworks

No se ha detectado uso directo de frameworks públicos como Metasploit o Cobalt Strike, lo que refuerza la hipótesis de una herramienta personalizada y privada, probablemente desarrollada ex profeso para estos ataques.

### 4. Impacto y Riesgos

El impacto de Lotus ha sido severo en los casos analizados: la pérdida definitiva de información crítica, interrupción de servicios y necesidad de reconstrucción de infraestructuras IT y OT. El data wiping afecta no solo a la disponibilidad, sino que dificulta la respuesta y posterior análisis de incidentes, incrementando los tiempos de recuperación.

A nivel sectorial, se estima que al menos un 15% de las entidades energéticas nacionales venezolanas han sufrido afectación directa, con pérdidas económicas millonarias debidas a la interrupción de servicios y a los costes de restauración. El potencial para ataques similares en otras geografías de Latinoamérica es elevado, dada la baja madurez en ciberseguridad en infraestructuras críticas de la región.

### 5. Medidas de Mitigación y Recomendaciones

– **Segmentación de redes:** Separar entornos IT y OT para limitar el movimiento lateral.
– **Gestión de credenciales:** Implantar autenticación multifactor (MFA) y rotación periódica de contraseñas.
– **Monitorización avanzada:** Desplegar EDR y SIEM con correlación de eventos orientada a detección de wipers y TTPs asociadas.
– **Backups offline:** Mantener copias de seguridad desconectadas y testar su integridad regularmente.
– **Hardening de servicios expuestos:** Cerrar puertos RDP/SMB no utilizados y emplear VPNs seguras para accesos remotos.
– **Planes de respuesta:** Actualizar los procedimientos de respuesta a incidentes incluyendo escenarios de data wiping.

### 6. Opinión de Expertos

Especialistas en ciberdefensa de infraestructuras críticas, como el equipo de Dragos y analistas independientes, advierten que el uso de malware wiper dirigido marca una escalada en los métodos empleados por actores estatales o patrocinados. Subrayan que la ausencia de frameworks públicos dificulta la atribución, pero también revela una profesionalización creciente de los atacantes.

Además, expertos en cumplimiento normativo destacan la importancia de revisar los requisitos de la Directiva NIS2 y de la GDPR, ya que la pérdida de datos personales y operativos puede acarrear sanciones adicionales, más allá del daño operacional.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones del sector energético que operan en entornos de alto riesgo deben adoptar una postura proactiva y zero trust, asumiendo que los atacantes pueden superar las barreras perimetrales. La preparación ante incidentes de data wiping es clave, así como la formación del personal y la inversión en tecnologías de respuesta y recuperación.

Los usuarios finales, aunque no son objetivo directo, pueden verse afectados por interrupciones en el suministro y exposición de datos personales. La transparencia y la comunicación post-incidente son esenciales para mitigar el impacto reputacional.

### 8. Conclusiones

El caso de “Lotus” evidencia la evolución de las amenazas dirigidas contra infraestructuras críticas y la necesidad de estrategias de defensa avanzadas y multidisciplinares. La falta de visibilidad y la dependencia de sistemas legados aumentan la superficie de ataque, por lo que el refuerzo de la ciberresiliencia debe ser prioritario para el sector energético venezolano y de la región.

(Fuente: www.bleepingcomputer.com)