MalwareSchwachstellenHackerangriffe

Lotus: Neue Wiper-Malware zerstört Systeme venezolanischer Energieversorger

Lotus: Neue Wiper-Malware zerstört Systeme venezolanischer Energieversorger
Zusammenfassung

Sicherheitsforscher von Kaspersky haben eine bislang unbekannte Daten-Lösch-Malware namens Lotus entdeckt, die im vergangenen Jahr gezielt gegen Energie- und Versorgungsunternehmen in Venezuela eingesetzt wurde. Das Schadprogramm wurde Mitte Dezember von einem Rechner in Venezuela auf eine öffentlich zugängliche Plattform hochgeladen und systematisch analysiert. Lotus ist darauf ausgelegt, kompromittierte Systeme vollständig zu zerstören, indem es physische Laufwerke überschreibt und Wiederherstellungsoptionen eliminiert. Der Angriff erfolgte in mehreren Phasen: Zunächst bereiten zwei Batch-Skripte das System vor, indem sie Verteidigungsmechanismen schwächen und normale Operationen behindern. Danach führt die Malware tiefgreifende Löschoperationen durch, die auf Laufwerk-Ebene arbeiten und selbst Datenwiederherstellungen nahezu unmöglich machen. Das zeitliche Zusammenfallen mit geopolitischen Spannungen in der Region – insbesondere rund um die politische Umwälzung in Venezuela – deutet auf einen gezielten staatlichen oder staatlich unterstützten Cyberangriff hin. Für deutsche Unternehmen und kritische Infrastruktur stellt diese Malware-Familie ein erhebliches Risiko dar, insbesondere für Organisationen im Energie- und Versorgungssektor. Die Analyse von Kaspersky bietet wichtige Erkenntnisse zur Erkennung und Abwehr solcher Lösch-Angriffe, deren Bedrohungspotential in Zeiten geopolitischer Spannungen kontinuierlich wächst.

Die von Kaspersky analysierte Wiper-Malware Lotus besticht durch ihre mehrstufige Angriffsmethodik und ihre besondere Effizienz bei der Zerstörung von Systemen. Der Angriffsablauf folgt einem strukturierten Schema: Zunächst wird ein Batch-Skript namens OhSyncNow.bat ausgeführt, das den Windows-Dienst “UI0Detect” deaktiviert und XML-Dateien prüft, um die Ausführung über Domänen-verbundene Systeme zu koordinieren.

Eine zweite Phase mit dem Skript notesreg.bat wird ausgelöst, wenn bestimmte Bedingungen erfüllt sind. Dieses Skript enumeriert Benutzerkonten, deaktiviert diese durch Passwortänderungen, beendet aktive Sitzungen, deaktiviert sämtliche Netzwerkschnittstellen und sperrt zwischengespeicherte Anmeldungen. Diese vorbereitenden Maßnahmen sollen verhindern, dass Administratoren noch eingreifen können.

Danach wird der eigentliche Wiper-Payload ausgelöst. Dieser nutzt Windows-Befehle wie ‘diskpart clean all’, um physikalische Laufwerke mit Nullen zu überschreiben. Das Tool ‘robocopy’ wird eingesetzt, um Verzeichnisinhalte zu überschreiben, während ‘fsutil’ den freien Speicherplatz berechnet und diesen mit Daten füllt, um eine Wiederherstellung zu erschweren.

Das Kernstück von Lotus operiert auf einer niedrigeren Ebene des Betriebssystems und interagiert mit Laufwerken über IOCTL-Aufrufe. Die Malware liest die Laufwerk-Geometrie, löscht USN-Journal-Einträge, vernichtet Wiederherstellungspunkte und überschreibt physikalische Sektoren statt nur logischer Volumes — ein Ansatz, der Datenrettung nahezu unmöglich macht.

Die zeitliche Nähe zu geopolitischen Spannungen in Venezuela, insbesondere zur Machtwechselkrise im Januar dieses Jahres, deutet auf einen gezielten Einsatz hin. Mitte Dezember 2025 wurde das staatliche Ölunternehmen Petróleos de Venezuela (PDVSA) durch einen Cyberangriff lahmgelegt, der dessen Liefersysteme deaktivierte.

Für deutsche Infrastrukturen ergibt sich daraus eine wichtige Lektion: Kaspersky empfiehlt, auf Precursor-Aktivitäten zu achten — unerwartete Änderungen am NETLOGON-Share, Manipulation von UI0Detect, Massenänderungen von Benutzerkonten und die Deaktivierung von Netzwerkschnittstellen. Auch die ungewöhnliche Nutzung von ‘diskpart’, ‘robocopy’ und ‘fsutil’ sollte Alarme auslösen.

Die Prävention ist klar: Regelmäßige Offline-Backups, deren Funktionsfähigkeit regelmäßig überprüft wird, sind essentiell. Nur durch solche Maßnahmen können Organisationen sich gegen Wiper-Malware wie Lotus schützen.

Ähnliche Artikel