Ende 2025 und Anfang 2026 haben Sicherheitsforscher eine Reihe gezielter Cyberangriffe auf den Energie- und Versorgungssektor Venezuelas beobachtet. Im Mittelpunkt der Kampagne steht ein bislang unbekannter Data Wiper namens Lotus Wiper, der keine Dateien verschlüsselt und kein Lösegeld fordert, sondern Systeme gezielt unbrauchbar macht. Alles deutet darauf hin, dass es sich um einen Akt der Cybersabotage und nicht um klassische Cyberkriminalität mit finanzieller Motivation handelt.
Lotus Wiper: neue Wiper-Malware gegen Energie- und Versorgungsunternehmen
Laut Analyse der Forscher richteten sich die Angriffe ausschliesslich gegen Organisationen aus dem Segment Energy & Utilities. Angriffe auf diese kritische Infrastruktur sind besonders gravierend, da Ausfälle in der IT-Landschaft unmittelbar die Verfügbarkeit von Strom, Wasser und weiteren essenziellen Diensten beeinträchtigen können.
Die untersuchte Lotus-Wiper-Binärdatei wurde Ende September 2025 kompiliert und Mitte Dezember von einem System in Venezuela auf eine öffentliche Online-Plattform hochgeladen. Dieser Zeitraum fällt mit einer allgemein erhöhten maliziösen Aktivität in der Region zusammen, über die sowohl lokale als auch internationale Stellen berichteten. Auffällig ist das vollständige Fehlen typischer Ransomware-Artefakte wie Erpressernotizen oder Krypto-Wallet-Adressen, was die Einordnung als nicht-monetäre Sabotagekampagne stützt.
In den globalen Kontext eingeordnet, fügt sich Lotus Wiper in eine seit Jahren beobachtete Entwicklung ein: Wiper-Malware wird gezielt eingesetzt, um Infrastruktur zu destabilisieren. Frühere Kampagnen mit Schadprogrammen wie Shamoon oder NotPetya führten laut öffentlich gewordenen Unternehmensberichten zu Schäden in Milliardenhöhe und langanhaltenden Produktionsausfällen. Diese Beispiele zeigen, dass Data Wiper zu den wirkungsvollsten Werkzeugen im Arsenal staatlich oder politisch motivierter Angreifer zählen.
Ablauf der Lotus-Wiper-Angriffe: Active Directory, NETLOGON und Batch-Skripte
Phase 1: Vorbereitung der Umgebung und Nutzung von NETLOGON
Die Angriffskette von Lotus Wiper beginnt mit einem Batch-Skript, das eine mehrstufige Bereitstellung und Ausführung des Wipers orchestriert. Zunächst versucht das Skript, den Dienst Windows Interactive Services Detection (UI0Detect) zu stoppen, der in älteren Windows-Versionen für die Anzeige von Service-GUIs in der Session 0 diente.
Da UI0Detect seit Windows 10 Version 1803 nicht mehr Bestandteil moderner Systeme ist, deutet diese Logik darauf hin, dass die Angreifer die Zielumgebungen im Vorfeld genau analysiert haben und gezielt auf veraltete Betriebssysteme setzen. Solche Legacy-Systeme sind in industriellen Netzen und in der öffentlichen Verwaltung noch weit verbreitet, häufig schlecht gepatcht und damit ein attraktives Ziel.
Im nächsten Schritt prüft das Skript die Existenz der typischen NETLOGON-Freigabe in einer Active-Directory-Domäne und versucht, eine XML-Konfigurationsdatei von dort zu laden. Parallel kontrolliert es, ob lokal ein gleichnamiger File in C:\lotus oder %SystemDrive%\lotus vorhanden ist. Unabhängig vom Ergebnis wird ein zweites Batch-Skript gestartet. Die Forscher gehen davon aus, dass diese Überprüfung dazu dient, festzustellen, ob der Host Mitglied einer AD-Domäne ist und ob eine zentralisierte Angriffssteuerung über NETLOGON zur Verfügung steht.
Ist die NETLOGON-Freigabe nicht erreichbar, beendet das Skript die Ausführung nicht sofort, sondern baut eine zufällige Verzögerung von bis zu 20 Minuten ein und versucht es erneut. Diese Taktik erschwert verhaltensbasierte Erkennung und erlaubt es den Angreifern, die Ausführung in der gesamten Windows-Domäne zu synchronisieren.
Phase 2: Totalausfall durch systematische Zerstörung
Das zweite Batch-Skript leitet die eigentliche Sabotage ein. Zunächst werden lokale Benutzerkonten aufgelistet, das Caching von Anmeldedaten deaktiviert und aktive Benutzer-Sessions zwangsweise beendet. Dadurch sinkt die Chance, dass Administratoren rechtzeitig eingreifen oder über Remote-Tools reagieren können.
Anschliessend werden die Netzwerkinterfaces deaktiviert, was kompromittierte Hosts effektiv isoliert und zentralisierte Sicherheitswerkzeuge wie EDR oder Remote-Management blockiert. Danach kommt diskpart mit dem Befehl clean all zum Einsatz, um die Partitionsstrukturen aller erkannten Datenträger zu löschen – eine der radikalsten Bordmittel-Funktionen von Windows zur vollständigen Bereinigung von Datenträgern.
Über robocopy synchronisiert das Skript Verzeichnisse rekursiv und überschreibt beziehungsweise löscht den vorhandenen Inhalt. Mithilfe von fsutil wird der verbleibende freie Speicherplatz berechnet und mit einem grossen Dateiobjekt gefüllt. Ziel dieser Schritte ist es, Datenrettung und forensische Analyse maximal zu erschweren und auch Backup-Agenten zu behindern, die auf verbleibenden Speicher angewiesen sind.
Technische Fähigkeiten von Lotus Wiper und Auswirkungen auf die Wiederherstellung
Nach Abschluss der Vorbereitungen wird der eigentliche Lotus-Wiper-Binary ausgeführt. Dieser entfernt zunächst alle Systemwiederherstellungspunkte, sodass gängige Windows-Mechanismen zur Rücksicherung nicht mehr zur Verfügung stehen.
Darüber hinaus überschreibt der Wiper physische Sektoren mit Nullen auf allen angebundenen Datenträgern. Dieses Vorgehen reduziert die Erfolgsaussichten einer nachträglichen Datenwiederherstellung selbst mit spezialisierten Forensik-Werkzeugen erheblich. Parallel dazu werden USN-Journale (Update Sequence Number) auf NTFS-Volumes gelöscht, was die Nachvollziehbarkeit von Dateioperationen und damit die forensische Rekonstruktion weiter erschwert.
Abschliessend löscht Lotus Wiper systematisch kritische Systemdateien auf allen gemounteten Volumes. Infolge dieser Kombination aus Low-Level-Überschreibung und gezieltem Entfernen von Systemkomponenten bleiben betroffene Windows-Installationen in der Regel nicht mehr bootfähig; eine Wiederherstellung ist praktisch nur noch über offline isolierte Backups und eine Neuinstallation möglich.
Schutzmassnahmen gegen Lotus Wiper und aehnliche Wiper-Malware
Um das Risiko vergleichbarer Angriffe zu minimieren, sollten Betreiber kritischer Infrastrukturen, öffentliche Einrichtungen und Unternehmen mehrere Ebenen der Abwehr kombinieren. Zunächst ist ein gezieltes Monitoring von Active-Directory-Umgebungen erforderlich: Änderungen an der NETLOGON-Freigabe, unerwartete Skriptausführungen von Domänencontrollern sowie Anzeichen von Credential Dumping und Privilegieneskalation sollten durch SIEM- und EDR-Lösungen konsequent erfasst und korreliert werden.
Ebenso wichtig ist der kontrollierte Einsatz von Windows-Bordmitteln wie diskpart, robocopy, fsutil und Batch-Skripten. Sicherheitsverantwortliche sollten Regeln definieren, die Massenoperationen auf Datenträgern, das Abschalten von Netzwerkschnittstellen oder das flächendeckende Beenden von Benutzersitzungen als verdächtig einstufen und automatisiert alarmieren.
Auf strategischer Ebene ist die Ablösung veralteter Betriebssysteme im OT- und IT-Umfeld entscheidend. Die gezielte Ausnutzung von Funktionen wie UI0Detect zeigt, dass Angreifer Legacy-Umgebungen aktiv recherchieren. Härtung, Segmentierung und der Einsatz von Jump-Hosts zwischen Büro-IT und industriellen Kontrollsystemen sind etablierte Best Practices, die das Risiko lateraler Bewegungen signifikant senken.
Schliesslich bleibt robustes, offline gesichertes Backup eine der wichtigsten Verteidigungslinien gegen Wiper-Malware. Backups sollten regelmässig getestet, physisch oder logisch von der Produktionsumgebung getrennt und in Notfallübungen eingebunden werden. Nur so lässt sich sicherstellen, dass nach einem erfolgreichen Angriff eine schnelle und geordnete Wiederherstellung kritischer Dienste möglich ist.
Angesichts der gezielten Ausrichtung von Lotus Wiper auf Energie- und Versorgungsunternehmen ist davon auszugehen, dass Wiper-Malware auch künftig als Instrument politisch oder wirtschaftlich motivierter Sabotage eingesetzt wird. Organisationen, insbesondere im Bereich kritische Infrastruktur, sollten diese Entwicklung zum Anlass nehmen, ihre Erkennungs- und Reaktionsfaehigkeiten zu überprüfen, Incident-Response-Pläne realistisch zu testen und Sicherheitsinvestitionen auf Szenarien totaler Datenzerstörung auszurichten.
