Cybersicherheitsexperten von Cisco Talos haben eine neue hochgefährliche Malware-Variante identifiziert, die gezielt kritische Infrastruktursysteme angreift. Die als **PathWiper** bezeichnete destruktive Software stellt eine erhebliche Weiterentwicklung bestehender Wiper-Malware dar und demonstriert die zunehmende Raffinesse moderner Cyberangriffe auf essenzielle Versorgungssysteme.
Ausgeklügelte Infiltrationstechniken durch legitime Administrationswerkzeuge
PathWiper zeichnet sich durch einen besonders perfiden Ansatz aus: Die Angreifer nutzen **legitime Systemadministrations-Tools**, um ihre schädliche Payload zu verbreiten. Durch das vorherige Erlangen von Administratorrechten können die Cyberkriminellen herkömmliche Sicherheitsmechanismen umgehen und ihre Aktivitäten als normale Verwaltungsprozesse tarnen.
Der Infektionsvorgang erfolgt in mehreren koordinierten Phasen. Zunächst wird eine Windows-Batch-Datei ausgeführt, die anschließend ein bösartiges VBScript namens *uacinstall.vbs* aktiviert. Dieses Skript lädt schließlich die Hauptschadkomponente *sha256sum.exe* herunter und führt sie aus. Diese mehrstufige Bereitstellungsstrategie erschwert die Erkennung durch Anti-Malware-Lösungen erheblich.
Technische Verwandtschaft zu HermeticWiper-Malware
Sicherheitsforscher stellen deutliche Parallelen zwischen PathWiper und der berüchtigten **HermeticWiper-Malware** fest, die auch unter den Bezeichnungen FoxBlade, KillDisk und NEARMISS bekannt ist. Die strukturellen Ähnlichkeiten lassen vermuten, dass PathWiper eine weiterentwickelte Version oder direkte Fortsetzung der HermeticWiper-Entwicklungslinie darstellt.
Der entscheidende Fortschritt von PathWiper liegt in seinem erweiterten Zielerkennung-Algorithmus. Während HermeticWiper lediglich physische Festplatten auflistete, kann die neue Variante *alle Arten angeschlossener Speichermedien programmatisch identifizieren* – einschließlich lokaler Laufwerke, Netzwerkressourcen und sogar nicht gemounteter Volumes.
Hochentwickelter Datenvernichtungsmechanismus
Die technische Sophistication von PathWiper zeigt sich besonders in seinem Datenvernichtungsverfahren. Die Malware nutzt Windows-API-Funktionen zur Demontage von Speicher-Volumes und bereitet diese systematisch für die vollständige Zerstörung vor. Zur Effizienzsteigerung erstellt das Schadprogramm separate Threads für jeden identifizierten Datenträger, wodurch simultane Angriffe auf multiple Ziele ermöglicht werden.
Der eigentliche Schaden entsteht durch das Überschreiben kritischer NTFS-Dateisystem-Strukturen mit Zufallsdaten. Dieser Prozess führt zur **vollständigen Datenvernichtung und zum kompletten Systemausfall**. Eine Wiederherstellung der Informationen wird ohne spezialisierte Forensik-Tools und erheblichen Zeitaufwand nahezu unmöglich.
Rein destruktive Motivation ohne Lösegeldforderungen
Die Analyse von PathWiper-Angriffen offenbart eine beunruhigende Charakteristik: Die Angreifer stellen keinerlei finanzielle Forderungen oder Wiederherstellungsbedingungen. Das Fehlen typischer Ransomware-Elemente verdeutlicht, dass die *ausschließliche Zielsetzung in der maximalen Störung kritischer Infrastruktursysteme* und der Verursachung wirtschaftlicher Schäden liegt.
Eskalation der Cyber-Kriegsführung gegen Versorgungsinfrastruktur
PathWiper reiht sich in eine besorgniserregende Serie destruktiver Malware-Varianten ein, die gezielt gegen kritische Infrastruktursysteme entwickelt wurden. Das Arsenal umfasst bereits WhisperGate, WhisperKill, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper und AcidRain. Diese Vielfalt spezialisierter Bedrohungen deutet auf koordinierte Anstrengungen zur systematischen Destabilisierung lebenswichtiger Systeme hin.
Die Entdeckung von PathWiper unterstreicht die kritische Bedeutung kontinuierlicher Cybersicherheits-Überwachung und der Implementierung mehrschichtiger Verteidigungssysteme. Betreiber kritischer Infrastrukturen sollten umgehend ihre Sicherheitsprotokolle überprüfen, administrative Privilegien einschränken und fortschrittliche Anomalie-Erkennungssysteme implementieren. Nur durch einen ganzheitlichen Cybersicherheitsansatz lassen sich derartige hochentwickelte Bedrohungen erfolgreich abwehren und die Kontinuität essentieller Versorgungsdienste gewährleisten.
