Die von Kaspersky analysierte Malware Lotus Wiper unterscheidet sich grundlegend von klassischen Ransomware-Varianten. Sie zielt nicht darauf ab, Daten zu verschlüsseln und Lösegeld zu erpressen, sondern arbeitet mit einer klaren Destruktionsstrategie: Sie deaktiviert Wiederherstellungsmechanismen, überschreibt Festplattensektoren vollständig und löscht systematisch alle Dateien. Das Ergebnis ist ein vollständig zerstörtes System, das sich nicht wiederherstellen lässt.
Mehrstufiger Angriffsablauf mit Fernsteuerung
Der Angriff folgt einem ausgefeilten Mehrstufenschema. Zunächst werden zwei Batch-Skripte ausgeführt, die die Verteidigungslinien schwächen. Das erste Skript versucht, den Windows-Dienst “Interactive Services Detection” (UI0Detect) zu deaktivieren, um Warnmeldungen zu unterdrücken. Interessanterweise funktioniert dieses Skript nur auf älteren Windows-Versionen, da der Dienst seit Windows 10 Version 1803 nicht mehr vorhanden ist – ein Hinweis auf weniger aktuelle Systeme bei den Zielen.
Besonders ausgeklügelt ist das Fernsteuerungsmechanismus des zweiten Skripts: Es prüft eine Datei auf einem NETLOGON-Share. Diese netzwerkgestützte Trigger-Methode funktioniert wie ein klassischer Backdoor-Aktivierungsmechanismus. Nur wenn diese Datei vorhanden ist, wird die Zerstörungsphase eingeleitet. Das zweite Skript enumeriert dann lokale Benutzerkonten, ändert deren Passwörter, deaktiviert Cached Logins, trennt Netzwerkverbindungen und füllt verfügaren Speicher mit großen Dateien auf, um Speicherplatz zu erschöpfen.
Vollständige Vernichtung auf Sektoren-Ebene
Danach wird Lotus Wiper selbst ausgeführt. Die Malware nutzt erhöhte Systemrechte, um jeden physischen Datenträger durch das Schreiben von Nullen auf alle Sektoren zu löschen. Sie entfernt Wiederherstellungspunkte, löscht auch Update-Sequence-Nummern in den Volume-Journalen und durchsucht systematisch alle Volumes nach weiteren zu löschenden Dateien.
Geopolitischer Hintergrund
Kaspersky verweist auf die “geopolitischen Spannungen in der Karibik” im späten 2025 und frühen 2026. Dies steht im Kontext von Berichten über US-Operationen, bei denen Cyberangriffe eine Rolle spielten – insbesondere für Stromausfälle und Zerstörung von Luftabwehrsystemen während politischer Ereignisse in Venezuela im Januar 2026.
Für deutsche Betreiber kritischer Infrastrukturen unterstreicht dieser Fall die Notwendigkeit verstärkter Sicherheitsmaßnahmen: Regelmäßige Systemaktualisierungen, luftgekapselte Backups und Netzwerksegmentierung sind gegen solch zielgerichtete Angriffe essentiell.