MalwareSchwachstellenHackerangriffe

Lotus Wiper: Neue Malware zerstört venezolanische Energieinfrastruktur

Lotus Wiper: Neue Malware zerstört venezolanische Energieinfrastruktur
Zusammenfassung

Sicherheitsforscher haben Lotus Wiper entdeckt, eine bislang unbekannte Malware-Variante, die Ende 2025 und Anfang 2026 in destruktiven Angriffen gegen venezolanische Energie- und Versorgungsunternehmen eingesetzt wurde. Die von Kaspersky dokumentierte Wiper-Malware funktioniert als Daten-Zerstörer: Sie löscht systematisch Wiederherstellungsmechanismen, überschreibt Festplatten und deaktiviert Systeme vollständig. Bemerkenswert ist, dass die Malware nicht auf finanzielle Erpressung abzielt – es gibt keine Lösegeldforderungen oder Zahlungsanweisungen – sondern rein destruktiver Natur ist. Der Angriffsablauf beginnt mit Batch-Skripten, die das System schwächen und Netzwerkkomponenten deaktivieren, bevor die eigentliche Wiper-Payload ausgelöst wird. Die hohe Spezialisierung des Codes auf ältere Windows-Versionen deutet darauf hin, dass Angreifer umfassendes Vorwissen über die Zielumgebungen hatten. Obwohl der Fokus derzeit auf Venezuela liegt, unterstreicht dieser Fall die wachsende Bedrohung durch destruktive Malware weltweit. Deutsche Unternehmen und Behörden sollten diesen Vorfall aufmerksam verfolgen, da ähnliche Angriffsmuster auch gegen kritische Infrastruktur in anderen Ländern adaptiert werden könnten. Eine verstärkte Überwachung von Netzwerkaktivitäten und native Windows-Befehle ist empfohlen.

Die neu entdeckte Lotus Wiper Malware markiert eine neue Dimension von Cyberangriffen auf kritische Infrastrukturen. Das Schadprogramm wurde zunächst Mitte Dezember 2025 von einem Rechner in Venezuela auf eine öffentlich zugängliche Plattform hochgeladen – mehrere Wochen vor größeren geopolitischen Spannungen in der Region. Der Compiler-Zeitstempel deutet darauf hin, dass die Malware bereits im späten September 2025 erstellt wurde.

Die Attacke folgt einer ausgefeilten mehrstufigen Strategie. Den Anfang macht ein Batch-Script, das versucht, den Windows Interactive Services Detection (UI0Detect) Service zu deaktivieren. Dieser ist allerdings ein starkes Indiz für ältere Windows-Systeme: UI0Detect wurde in Windows 10 ab Version 1803 entfernt. Das deutet darauf hin, dass die Angreifer spezifisches Wissen über die Zielumgebung hatten.

Das Script prüft anschließend auf einen NETLOGON-Share und lädt eine Remote-XML-Datei, um festzustellen, ob das Zielgerät Teil einer Active Directory-Domäne ist. Sollte der NETLOGON-Share nicht erreichbar sein, wartet das Script bis zu 20 Minuten, bevor es erneut versucht – ein Zeichen für sorgfältige Planung.

Das zweite Batch-Script startet die Zerstörungsphase: Es deaktiviert lokale Benutzerkonten, trennt Netzwerkverbindungen und führt den Befehl „diskpart clean all” aus, um alle logischen Laufwerke zu löschen. Mit Robocopy und fsutil werden dann alle Speicherplätze mit Nullen überschrieben, um Datenwiederherstellung unmöglich zu machen.

Abschließend wird Lotus Wiper selbst ausgeführt, um Wiederherstellungspunkte zu löschen, USN-Einträge zu löschen und letztendlich alle Systemdateien auf allen gemounteten Volumes zu vernichten.

Kaspersky weist darauf hin, dass die genaue Kenntnis älterer Windows-Versionen zeigt: Die Angreifer müssen die Netzwerkumgebung lange vorher kompromittiert haben. Organisationen sollten vermehrt auf Veränderungen bei NETLOGON-Shares, verdächtige Privilege-Escalation und den Einsatz von nativen Windows-Tools wie diskpart, fsutil und robocopy achten.

Das Fehlen von Erpressungsmechanismen ist bemerkenswert und deutet darauf hin, dass nicht finanzielle Gewinne, sondern Zerstörung das primäre Ziel war – möglicherweise eine gezielte Sabotage kritischer Infrastruktur im Kontext geopolitischer Spannungen.

Ähnliche Artikel