Sicherheitsforscher enthüllen eine koordinierte Löschkampagne gegen kritische Infrastruktur – mit Sprengkraft weit über Lateinamerika hinaus.
Ein neu entdeckter Schadcode namens Lotus Wiper zielt gezielt auf die Energie- und Versorgungswirtschaft ab. Anders als bei Erpressungstrojanern geht es den Angreifern nicht um Geld, sondern um pure Zerstörung. Das berichten Sicherheitsanalysten von Kaspersky Lab Anfang Mai. Die Malware wurde gegen venezolanische Energiesysteme eingesetzt, darunter der staatliche Ölkonzern Petróleos de Venezuela (PDVSA). Lotus Wiper löscht systematisch sämtliche Daten und Wiederherstellungsmechanismen – betroffene Systeme werden dauerhaft unbrauchbar.
Der Lotus-Wiper-Vorfall unterstreicht, wie gezielte Cyberangriffe die Existenz ganzer Unternehmen bedrohen können. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Bedrohungstrends frühzeitig erkennen und Ihre IT-Sicherheit auch ohne riesige Budgets massiv stärken. Gratis-E-Book: Cyber Security Trends 2024 jetzt herunterladen
Mehrstufiger Angriff mit versteckter Vorbereitung
Der Einsatz von Lotus Wiper folgt einem minutiös geplanten Ablauf, der lange vor der eigentlichen Zerstörung beginnt. Die Forscher fanden Hinweise, dass die Täter über Monate Zugriff auf die Zielnetzwerke hatten. Die Schadcode-Exemplare wurden bereits Ende September 2025 kompiliert, aber erst später aktiviert – zeitgleich mit erheblichen regionalen Störungen. Die Angreifer warteten offenbar auf den strategisch günstigsten Moment.
Die Angriffskette basiert auf zwei Batch-Skripten. Das erste, von Forschern als OhSyncNow.bat identifiziert, prüft die Umgebung. Es versucht, ein Arbeitsverzeichnis anzulegen und sucht nach einer bestimmten Steuerungsdatei auf einer Netzwerkfreigabe. Findet es diesen Marker, ist das Netzwerk bereit für die Zerstörungsphase. Ein kritischer Schritt: Das Skript deaktiviert den Windows-Dienst UI0Detect, der interaktive Dialoge anzeigt. So bleiben die Löschvorgänge für Nutzer unsichtbar.
Das zweite Skript, notesreg.bat, schwächt systematisch die Systemabwehr. Es setzt Passwörter auf Zufallswerte zurück und deaktiviert Benutzerkonten vollständig. Die Analyse zeigt, dass das Skript sogar Anmeldezeiten einschränkt und zwischengespeicherte Anmeldedaten blockiert – legitime Administratoren werden ausgesperrt. Gleichzeitig werden alle aktiven Sitzungen zwangsweise beendet, um Eingriffe des IT-Personals zu verhindern.
Unumkehrbare Zerstörung und Systemisolierung
Nach der Isolation wird der eigentliche Lotus-Wiper-Code mit Administratorrechten gestartet. Das Ziel: die totale Vernichtung aller Daten in einem mehrstufigen Prozess. Zuerst entfernt die Malware alle Windows-Wiederherstellungspunkte. Dann überschreibt sie jede angeschlossene Festplatte Sektor für Sektor mit Nullen – selbst forensische Werkzeuge können die Daten nicht mehr retten.
Die Zerstörung geht bis auf Dateisystemebene. Lotus Wiper löscht Dateien auf allen eingebundenen Volumes und entfernt die USN-Journale (Update Sequence Numbers), die normalerweise Änderungen am Dateisystem protokollieren. Mit diesen Journalen und Systemprotokollen verschwindet auch die forensische Spur für Ermittler. Zusätzlich fährt die Malware die Netzwerkschnittstellen herunter: Das verhindert sowohl Kommunikation nach außen als auch Eingriffe durch Sicherheitsüberwachung aus der Ferne.
Diese Gründlichkeit stellt Lotus Wiper in eine Reihe mit historischen Wiper-Angriffen wie NotPetya und Shamoon, die weltweit Schäden in Milliardenhöhe verursachten. Anders als jene früheren Beispiele hinterlässt Lotus Wiper Systeme in einem „dauerhaft nicht wiederherstellbaren“ Zustand.
Geopolitische Hintergründe und fehlende Geldgier
Auffällig: Die Lotus-Wiper-Kampagne verfolgt keinerlei finanzielles Motiv. Die forensische Analyse fand keine Lösegeldforderungen, keine Verschlüsselung zur Erpressung, keine Zahlungsanweisungen. Der Fokus lag einzig auf Sabotage. Die zeitliche Einordnung der Angriffe deckt sich mit geopolitischen Ereignissen in der Karibik Ende 2025 und Anfang 2026. Die Schadcode-Beispiele wurden Mitte Dezember 2025 von einem venezolanischen Rechner hochgeladen – nur Wochen vor bedeutenden militärischen und Cyber-Aktivitäten im Januar 2026.
Der Einsatz gezielter Wiper in nationalen Konflikten hat in den letzten Jahren zugenommen. Staatlich gesteuerte oder politisch motivierte Gruppen nutzen diese Werkzeuge, um physische Folgen zu verursachen – Stromausfälle oder die Störung industrieller Prozesse – ohne physische Sabotage. Im Fall des venezolanischen Energiesektors war das Ziel offenbar die langfristige Störung staatlicher Versorgungsunternehmen.
Die Angreifer setzen auf „günstige, aber effektive“ Techniken. Sie nutzen Standard-Windows-Programme wie diskpart, robocopy und fsutil für die Zerstörung. Das macht die Angriffe einfacher zu entwickeln und schwerer zuzuordnen.
Während Wiper-Attacken auf Zerstörung setzen, nutzen andere Cyberkriminelle psychologische Tricks wie CEO-Fraud, um in Netzwerke einzudringen. Dieser kostenlose Report analysiert die Methoden der Angreifer und zeigt, wie Sie Ihre Mitarbeiter effektiv vor solchen Manipulationen schützen. Anti-Phishing-Paket für Unternehmen kostenlos sichern
Wachsende Gefahr für Betriebstechnologie
Der Lotus-Wiper-Vorfall zeigt eindringlich die Risiken der zunehmenden Vernetzung von Informationstechnologie (IT) und Betriebstechnologie (OT). Je mehr Industrieanlagen mit Unternehmensnetzwerken verbunden werden, desto größer wird die Angriffsfläche für kritische Infrastruktur. Laut Erkenntnissen von TXOne Networks lassen sich 96 Prozent aller OT-Vorfälle auf Kompromittierungen zurückführen, die im IT-System ihren Ursprung hatten. Selbst wenn industrielle Steuerungen nicht direkt mit dem Internet verbunden sind, sind sie durch laterale Bewegungen aus dem Unternehmensnetzwerk verwundbar.
Die Bedrohung nimmt rasant zu. Forschungen von Forescout zeigen, dass Angriffe auf OT-Protokolle 2025 um 84 Prozent zunahmen. Dragos berichtet von einem Anstieg der Ransomware-Angriffe auf Industrieunternehmen um fast 95 Prozent, bei einem gleichzeitigen Anstieg aktiver Angreifergruppen um 49 Prozent. Der verarbeitende Sektor ist besonders betroffen: Laut Resilience entfiel 2025 jeder vierte Cyberangriff auf diese Branche – vor allem wegen ihrer geringen Toleranz für Ausfallzeiten.
Ausblick: Schutz kritischer Infrastruktur neu denken
Angesichts der sich wandelnden Bedrohungslage fordern Sicherheitsexperten ein Umdenken bei der Verteidigung. Die Lotus-Wiper-Kampagne zeigt, dass traditionelle Perimeter-Verteidigung nicht ausreicht, wenn Angreifer langfristig Fuß fassen und auf den günstigen Moment warten können. Die Forscher empfehlen, verstärkt auf interne Überwachung zu setzen – insbesondere auf unautorisierte Änderungen an Domänenfreigaben und die ungewöhnliche Nutzung von Standard-Windows-Programmen.
Die Überwachung auf „Marker“-Dateien im Netzwerk, wie die von Lotus Wiper verwendeten XML-Trigger, kann eine Frühwarnung vor koordinierten Angriffen liefern. Unveränderliche Backups – Datenkopien, die selbst von Angreifern mit Administratorrechten nicht gelöscht werden können – sind oft die einzige Möglichkeit, den Betrieb nach einem Wiper-Angriff wiederherzustellen.
Der anhaltende Einsatz zerstörerischer Malware in regionalen Konflikten deutet darauf hin, dass kritische Infrastruktur ein primäres Ziel für staatlich gelenkte Akteure bleibt. Für globale Energieunternehmen und Versorger ist die Lotus-Wiper-Entdeckung ein Weckruf: Der Fokus der Cybersicherheit muss sich vom reinen Datenschutz auf die Sicherung der physischen Betriebskontinuität ausweiten.
