Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Lotus Scheibenwischer

Lotus Scheibenwischer

Von Mezo in Malware
Übersetzen Sie in:

Cybersicherheitsexperten haben eine bisher unbekannte Malware zur Datenlöschung identifiziert, die nun unter dem Namen Lotus Wiper bekannt ist und zwischen Ende 2025 und Anfang 2026 bei gezielten Angriffen auf den venezolanischen Energie- und Versorgungssektor eingesetzt wurde. Diese Malware ist auf maximale Zerstörung ausgelegt und macht infizierte Systeme vollständig unbrauchbar.

Koordinierte Angriffsdurchführung: Mehrstufiger Einsatz

Der Angriff basiert auf zwei Batch-Skripten, die eine sorgfältig geplante Operation orchestrieren. Diese Skripte synchronisieren Aktivitäten im gesamten Netzwerk, schwächen die Systemverteidigung und stören den normalen Betrieb, bevor sie die eigentliche Schadsoftware ausführen. Ihre Aufgabe besteht darin, die Wiper-Komponente abzurufen, zu entschlüsseln und auszuführen, um einen nahtlosen Übergang in die Zerstörungsphase zu gewährleisten.

Systematische Zerstörung: Wie der Lotus-Scheibenwischer funktioniert

Nach der Aktivierung führt Lotus Wiper einen umfassenden Datenlöschprozess durch, der sowohl die Systemfunktionalität als auch Wiederherstellungsoptionen beseitigt. Zu seinen zerstörerischen Funktionen gehören:

  • Entfernung von Wiederherstellungsmechanismen, einschließlich Wiederherstellungspunkten
  • Überschreiben physischer Laufwerkssektoren mit Nulldaten
  • Löschung von Dateien auf allen eingebundenen Volumes
  • Löschung von Aktualisierungssequenznummern (USN) in Bandjournalen

Diese Maßnahmen gewährleisten gemeinsam, dass betroffene Systeme nicht auf herkömmlichem Wege wiederhergestellt oder neu aufgebaut werden können.

Indizien für die Absicht: Nicht finanziell motiviert

Im Gegensatz zu Ransomware enthält Lotus Wiper weder Erpressungsnachrichten noch Zahlungsanweisungen. Dies deutet stark darauf hin, dass die Kampagne nicht von finanziellen Zielen, sondern von Sabotage oder geopolitischen Motiven getrieben ist. Bemerkenswert ist, dass die Malware-Probe Mitte Dezember 2025 von einem venezolanischen System aus öffentlich hochgeladen wurde, kurz vor US-Militäraktionen im Januar 2026. Obwohl kein direkter Zusammenhang bestätigt wurde, deckt sich der Zeitpunkt mit vermehrten Berichten über Cyberangriffe auf denselben Sektor, was auf eine hochspezialisierte Operation hindeutet.

Angriff auf Legacy-Systeme: Ausnutzung veralteter Umgebungen

Die Angriffskette beginnt mit einem Batch-Skript, das einen mehrstufigen Prozess auslöst. Eine der ersten Aktionen ist der Versuch, den Windows Interactive Services Detection (UI0Detect)-Dienst zu deaktivieren. Dieser Dienst wurde in neueren Windows-Versionen nach Windows 10 Version 1803 entfernt, was darauf hindeutet, dass die Schadsoftware speziell für Angriffe auf ältere Betriebssysteme entwickelt wurde.

Das Skript prüft außerdem, ob eine NETLOGON-Freigabe vorhanden ist und ruft eine entfernte XML-Datei ab. Diese Datei wird mit einer lokal gespeicherten Version in Verzeichnissen wie C:\lotus oder %SystemDrive%\lotus verglichen. Dieses Verhalten gibt wahrscheinlich Aufschluss darüber, ob das System Teil einer Active Directory-Domäne ist. Ist die entfernte Datei nicht verfügbar, wird das Skript beendet; andernfalls wird es fortgesetzt, gegebenenfalls nach einer zufälligen Verzögerung von bis zu 20 Minuten, um die Verbindung erneut herzustellen.

Umgebungsvorbereitung: Deaktivierung und Störung von Systemen

Das zweite Batch-Skript bereitet das kompromittierte System durch systematische Schwächung seines Betriebszustands für die Zerstörung vor. Zu seinen Aktionen gehören:

  • Lokale Benutzerkonten auflisten und zwischengespeicherte Anmeldeinformationen deaktivieren
  • Abmeldung aktiver Benutzersitzungen
  • Netzwerkschnittstellen deaktivieren
  • Der Befehl „diskpart clean all“ wird ausgeführt, um logische Laufwerke zu löschen.

Darüber hinaus nutzt es native Windows-Dienstprogramme wie robocopy, um Dateien zu überschreiben oder zu löschen, und fsutil, um große Dateien zu erstellen, die den gesamten verfügbaren Speicherplatz belegen und so Wiederherstellungsversuche effektiv verhindern.

Abschließende Nutzlastausführung: Unumkehrbarer Schaden

Nach der Vorbereitung wird die Lotus Wiper-Payload ausgeführt. Sie schließt den Zerstörungsprozess ab, indem sie Wiederherstellungspunkte löscht, physische Sektoren überschreibt, Journaleinträge löscht und alle Systemdateien auf den eingebundenen Volumes entfernt. Ab diesem Zeitpunkt ist eine Wiederherstellung ohne externe Backups praktisch unmöglich.

Defensive Empfehlungen: Überwachung und Risikominderung

Organisationen, insbesondere solche in kritischen Infrastruktursektoren, sollten proaktive Überwachungs- und Erkennungsstrategien anwenden. Zu den wichtigsten Schwerpunkten gehören:

Überwachung von Veränderungen der NETLOGON-Aktien
Erkennung von Versuchen, Anmeldeinformationen abzugreifen oder Berechtigungen zu erweitern
Erfassung ungewöhnlicher Nutzung nativer Tools wie fsutil, robocopy und diskpart

Strategische Erkenntnis: Hinweise auf vorherige Kompromisse

Das Vorhandensein von Funktionen, die auf veraltete Windows-Umgebungen zugeschnitten sind, deutet auf vorherige Aufklärung und langfristigen Zugriff hin. Angreifer verfügten wahrscheinlich über detaillierte Kenntnisse der angegriffenen Infrastruktur und könnten Domänenumgebungen bereits lange vor Beginn der eigentlichen Zerstörungsphase kompromittiert haben.

Im Trend

Am häufigsten gesehen

Wird geladen...