Die Analyse der Malware-Artefakte zeigt ein Muster, das Sicherheitsexperten weltweit beunruhigt: Lotus Wiper nutzt zwei Batch-Skripte, um das Netzwerk zu durchdringen, Verteidigungssysteme zu unterminieren und die Incident Response zu sabotieren. Der Schädling, ursprünglich im September 2025 kompiliert, führt dann den finalen Schlag aus – die systematische Vernichtung aller Daten. Kaspersky beschreibt das Vorgehen präzise: Das Programm deaktiviert Wiederherstellungsmechanismen, überschreibt Festplatteninhalte und löscht Dateien über alle betroffenen Volumes hinweg, bis das System in einen irreparablen Zustand versetzt ist.
Lotus Wiper ist nicht isoliert. Der Angriff reiht sich in eine lange Serie von Wiper-Attacken ein, die mit geopolitischen Konflikten verknüpft sind. Saudi Aramco erlitt 2012 durch Shamoon-Malware den Ausfall von 30.000 Systemen; die NotPetya-Attacke von 2017 nutzte ein ukrainisches Softwareunternehmen als Sprungbrett für weltweite Zerstörung. Russland und die Ukraine haben sich seit 2014 wiederholt Wiper-basierte Cyberangriffe geliefert. Im Dezember dieses Jahres attributierten Forscher einen Wiper-Angriff auf Polens Stromnetze der russischen Sandworm-Gruppe.
Die zeitliche Übereinstimmung deutet auf einen Angriff gegen Petróleos de Venezuela SA (PDVSA) hin, das staatliche Ölunternehmen, das im Dezember Störungen meldete. PDVSA bestritt operative Auswirkungen, doch unabhängige Berichte zeigten: Der Öltransport auf Tankschiffe kam zum Erliegen.
Warum Wiper-Attacken so wirkungsvoll sind
Experten erklären die Popularität dieser Malware pragmatisch: Wiper-Attacken erfordern minimale Entwicklungszeit, liefern aber maximale Zerstörung. Jimmy Wylie von Dragos, einem Spezialisten für industrielle Cybersicherheit, bezeichnet sie als “billig aber effektiv”. Allerdings offenbaren die Lotus-Wiper-Akteure auch Geduld – sie verweilten monatelang in den Systemen, mapten die Infrastruktur und bereiteten den Angriff vor. Diese “dwell time” zeigt auch eine Schwäche: Viele kritische Infrastrukturen sind unterfinanziert und können solch ausgefeilte Angreifer nicht früh erkennen.
Schutzmaßnahmen für kritische Infrastrukturen
Experten empfehlen konkrete Maßnahmen: Netzwerk-Segmentierung zwischen Operational Technology (OT) und Enterprise IT, um zu verhindern, dass Brüche in IT-Systemen kritische Kontrollsysteme erreichen. Zudem sind unveränderbare Backups außerhalb der Reichweite von Angreifern essentiell. Deutsche Betreiber kritischer Infrastrukturen sollten solche Maßnahmen laut BSI-Richtlinien priorisieren – und bei Datenverlust sofort Meldepflichten beachten.