- Warum sind Wiper die bevorzugte Waffe bei OT-Angriffen?
- Das vierstufige Vorgehensmodell der Wiper-Malware
- Wie sehen Wiper-Angriffe in OT-Umgebungen in der Praxis aus?
- Warum beginnt jeder Wiper-Angriff damit, dass eine Datei eine Vertrauensgrenze überschreitet?
- Der jüngste Wiper-Angriff auf den Energiesektor Venezuelas
- In dieser Analyse herangezogene Scheibenwischerproben und Indikatoren
- Wiper-Angriffe stoppen, bevor sie ausgeführt werden
In unserem letzten Blogbeitrag haben wir die größten Cyberangriffe auf ICS- und OT-Systeme von 2024 bis Anfang 2026 analysiert. Dabei zeichnete sich ein Muster ab: Wiper-Malware ist zur bevorzugten Waffe staatlich geförderter Akteure geworden, die es auf OT-Umgebungen abgesehen haben. Sechs separate Wiper-Kampagnen betrafen in den Jahren 2024–2025 Industriezweige weltweit, darunter Stromnetze, Wasserversorgungssysteme, das Gesundheitswesen und die Fertigungsindustrie.
Dieser Artikel beleuchtet diesen Trend im Detail. Er erläutert, warum Wiper-Programme in OT-Umgebungen so effektiv sind, beleuchtet drei reale Vorfälle und identifiziert das ihnen zugrunde liegende einheitliche Angriffsmuster. Während der Arbeit an diesem Beitrag tauchte ein weiteres Beispiel auf. Eine neu gemeldete Bedrohung namens „Lotus Wiper“ richtete sich gegen den Energiesektor Venezuelas. Dieser Fall wird im letzten Abschnitt behandelt.
Warum sind Wiper die bevorzugte Waffe bei OT-Angriffen?
Wiper sind darauf ausgelegt, Daten zu vernichten, was sie grundlegend von Ransomware unterscheidet. Da sie keine Erpressung ermöglichen, sind sie für Angreifer, die ausschließlich auf finanziellen Gewinn aus sind, kein nützliches Werkzeug. Stattdessen sind sie äußerst wirksam für Akteure, deren Ziel es ist, Störungen oder Schäden zu verursachen, insbesondere wenn sie darauf abzielen, Cyberoperationen in reale Auswirkungen umzusetzen und dabei ein hohes Maß an Anonymität zu wahren. Aus diesem Grund werden Wiper häufig mit staatlich geförderten Aktivitäten in Verbindung gebracht.
In herkömmlichen IT-Umgebungen löschen Wiper in erster Linie Dateien. Dies kann zwar erhebliche Störungen verursachen, doch lassen sich die Auswirkungen oft beheben, sofern zuverlässige Backups vorhanden sind. In OT- und ICS-Umgebungen sieht die Situation jedoch anders aus. Systeme wie SCADA-Server, Engineering-Workstations und HMI-Displays speichern nicht nur Daten. Sie steuern und überwachen aktiv physische Prozesse. Wenn die Daten auf diesen Systemen zerstört werden, verlieren die Betreiber den Überblick und die Kontrolle über den Betrieb und sind praktisch blind für das, was vor Ort geschieht.
Hier werden Wiper besonders gefährlich. Sie können die Lücke zwischen Cyberangriffen und physischen Folgen überbrücken. Aufgrund dieser Fähigkeit setzen staatlich geförderte Akteure häufig Wiper ein. Ihr Einsatz ist oft in Regionen zu beobachten, in denen bewaffnete Konflikte oder erhöhte geopolitische Spannungen herrschen und in denen die Störung der Infrastruktur das vorrangige Ziel ist.
Das vierstufige Vorgehensmodell der Wiper-Malware
Jeder untersuchte Wiper folgt – unabhängig von Sprache, Plattform oder Komplexität – demselben Grundmuster. Das Verständnis dieser Phasen ist ein praktischer Ausgangspunkt für die Abwehr von Wiper-Angriffen.
Phase 1: Initialisierungs-
us Der Wiper bereitet seine Datenlösch-Nutzlast vor und generiert dabei in der Regel pseudozufällige Daten mithilfe eines gängigen Zufallszahlengenerators. Zufällige Daten erschweren die forensische Wiederherstellung stärker als das Überschreiben mit Nullen.
Phase 2: Erkundungs
Der Löschdienst erfasst alles, was er zerstören kann, indem er Laufwerke, Volumes, Verzeichnisse und Dateien auflistet.
Phase 3: Lösch
us Der Löschvorgang öffnet jede Datei, entfernt die Schutzattribute und überschreibt sie mit Zufallsdaten. Manche Programme löschen die Dateien anschließend auch. Andere zielen auf den Master Boot Record (MBR) oder die Master File Table (MFT) ab, wodurch die gesamte Festplatte unlesbar wird.
Phase 4: Anti-Wiederherstellungs-
us Ein erzwungener Neustart macht den Schaden endgültig. Der Wiper erweitert seine Berechtigungen, erlangt die Rechte zum Herunterfahren und startet das System neu. Wenn es – falls überhaupt – wieder hochfährt, gibt es nichts mehr, was wiederhergestellt werden könnte.
Im folgenden Abschnitt wird dieses Playbook auf reale Vorfälle angewendet.
Wie sehen Wiper-Angriffe in OT-Umgebungen in der Praxis aus?
DynoWiper – Polens Stromnetz
Akteur: Sandworm/ELECTRUM (GRU)
Ziel: Polen, Energiesektor (dezentrale Energiequellen)
Übermittlung: Windows-Ausführungsdatei (PE-Binärdatei), die über ein kompromittiertes Netzwerk übertragen wurde
Im Dezember 2025 griff „Sandworm“, die leistungsfähigste auf industrielle Steuerungssysteme (ICS) spezialisierte Einheit des GRU, mit „DynoWiper“ die polnische Strominfrastruktur an. Laut Dragos handelte es sich dabei um den ersten koordinierten Cyberangriff in großem Maßstab, der auf dezentrale Energiequellen (DER) abzielte.
Betroffen waren etwa 30 Standorte, darunter Kraft-Wärme-Kopplungsanlagen, Windparks und Solarstromanlagen. Im Gegensatz zu früheren Angriffen, die sich auf zentrale Kraftwerke konzentrierten, richtete sich diese Operation gegen kleinere, dezentrale Anlagen, die auf den modernen Energiemärkten rasch an Bedeutung gewinnen. Diese Anlagen sind zudem in der Regel weniger gut geschützt.
Von dem Angriff könnten bis zu 500.000 Einwohner betroffen sein. Der polnische Ministerpräsident erklärte, dass das Übertragungsnetz nicht gefährdet sei, die Angreifer jedoch Zugang zu OT-Systemen erlangt und einige Geräte dauerhaft außer Betrieb gesetzt hätten. DynoWiper folgte genau dem vierstufigen Ablaufplan: Erzeugung einer pseudozufälligen Nutzlast, Erfassung der Laufwerke, Überschreiben von Dateien und erzwungener Neustart. Es wurde als kompilierte Binärdatei ausgeführt, die auf systematische Zerstörung ausgelegt war.
PathWiper – Die kritische Infrastruktur der Ukraine
Akteur: Russia-nexus (Einheit unbekannt)
Ziel: Ukraine, kritische Infrastruktur (verschiedene Sektoren)
Übermittlung: VBScript-Dropper in Verbindung mit einer ausführbaren Datei
PathWiper wurde im Rahmen einer andauernden Cyberkampagne während des Krieges von einem mit Russland in Verbindung stehenden Akteur gegen kritische Infrastrukturen in der Ukraine eingesetzt. Während DynoWiper auf einen bestimmten Sektor abzielte, richtete sich PathWiper gegen kritische Infrastrukturen im weiteren Sinne und beeinträchtigte während des aktiven Konflikts mehrere lebenswichtige Dienste.
Was dieses Programm auszeichnet, ist die Gründlichkeit der Löschung. PathWiper überschreibt Dateien nicht einfach nur. Es zerstört den lokalen Speicher auf Volume-Ebene. In einem aktiven Krieg hat das Löschen der Systeme, die wichtige Dienste verwalten, Folgen, die weit über den bloßen Datenverlust hinausgehen.
Es gelten dieselben vier Phasen, doch PathWiper treibt die Vernichtungsphase weiter voran als die meisten anderen Programme. Indem es auf den Speicher auf Datenträgerebene abzielt statt auf einzelne Dateien, stellt es sicher, dass selbst eine teilweise forensische Wiederherstellung praktisch unmöglich ist. Das Ziel ist die vollständige Löschung – nicht nur der Daten, sondern auch der Funktionsfähigkeit des Systems.
LazyWiper – Polens verarbeitendes Gewerbe
Akteur: Sandworm/ELECTRUM (GRU)
Ziel: Polen, Fertigungsindustrie
Verbreitung: PowerShell-Skript, das über Gruppenrichtlinienobjekte (GPO) übertragen wird
LazyWiper war keine eigenständige Kampagne. Der Angriff erfolgte am selben Tag wie DynoWiper, dem 29. Dezember 2025, als Teil derselben koordinierten Operation. Er richtete sich jedoch gegen ein produzierendes Unternehmen und wurde von CERT Polska als opportunistisch eingestuft. Die Angreifer identifizierten einen ungeschützten Zugangspunkt und nutzten diesen aus.
Dieser Einstiegspunkt war ein Fortinet-Gerät, dessen Konfigurationsdaten gestohlen und in einem kriminellen Forum veröffentlicht worden waren. Die Angreifer nutzten die durchgesickerten Anmeldedaten, um sich dauerhaften Zugriff zu verschaffen, verschafften sich anschließend Domänenadministratorrechte und verteilten LazyWiper über GPO auf alle Rechner. Im Gegensatz zur kompilierten Binärdatei von DynoWiper ist LazyWiper ein PowerShell-Skript. Es deaktiviert Defender, nutzt integrierte Windows-Verwaltungstools, um alle Laufwerke zu mappen, benennt Dateien in zufällige vierstellige Namen um und überschreibt sie mit pseudozufälligen Daten.
Ein Detail macht diesen Fall besonders bemerkenswert. CERT Polska kam zu dem Schluss, dass Teile des Codes zum Überschreiben von Dateien wahrscheinlich von einem großen Sprachmodell generiert wurden, was auf eine KI-gestützte Malware-Entwicklung in freier Wildbahn hindeutet. Wenn Sicherheitsverantwortliche davon ausgehen, dass Wiper immer als herkömmliche kompilierte Malware auftreten, macht LazyWiper deutlich, dass auch skriptbasierte und dynamisch generierte Bedrohungen berücksichtigt werden müssen.
Warum beginnt jeder Wiper-Angriff damit, dass eine Datei eine Vertrauensgrenze überschreitet?
Jeder Vorfall in diesem Blog und jeder Vorfall im vorherigen Bericht zur Bedrohungslage hat eines gemeinsam: Eine Datei hat eine Vertrauensgrenze überschritten. Die Formate und Übertragungswege mögen unterschiedlich sein, doch das Muster ist immer dasselbe.
- DynoWiper: Windows-Programm, das über ein kompromittiertes Netzwerk verbreitet wird
- PathWiper: VBScript-Dropper in Kombination mit einer ausführbaren Datei
- LazyWiper: PowerShell-Skript, das über GPO bereitgestellt wird
Sandbox Adaptive Sandbox OPSWATSandbox jede Datei an jeder Vertrauensgrenze, bevor sie die Entwicklungs-Workstation erreicht, bevor sie mit dem SCADA-System interagiert und bevor sie von der IT in die OT gelangt. Dabei stützt sie sich nicht auf die Beobachtung destruktiven Verhaltens. Stattdessen identifiziert sie schädliche Funktionen in einer kontrollierten Umgebung, bevor der Datei Vertrauen geschenkt wird.
Wenn Sie in den Bereichen Energie, Wasser, Fertigung, Gesundheitswesen oder öffentliche Verwaltung tätig sind, dann sind Wiper Teil Ihres Bedrohungsmodells, unabhängig davon, ob sie ausdrücklich berücksichtigt werden oder nicht.
Wiper-Malware wird sich mit neuen Sprachen, Übertragungswegen und Angriffszielen weiterentwickeln, doch das Grundmuster bleibt unverändert. Eine Datei muss ankommen, ein System erreichen und ausgeführt werden. Dies gilt nach wie vor, von Stuxnet im Jahr 2010 bis hin zu DynoWiper im Jahr 2025. Die Überprüfung der Datei, bevor sie die Systemgrenze überschreitet, ist eine Kontrollmaßnahme, die für alle Wiper-Varianten, Akteure und Branchen gleichermaßen gilt.
Der jüngste Wiper-Angriff auf den Energiesektor Venezuelas
Während dieser Artikel fertiggestellt wurde, meldete Kaspersky GReAT am 21. April einen bislang unbekannten Wiper namens „Lotus Wiper“, der auf den Energie- und Versorgungssektor Venezuelas abzielt.
Der Angriff verläuft methodisch. Zwei Batch-Skripte isolieren den Rechner zunächst, indem sie Dienste deaktivieren, Netzwerkschnittstellen beenden und Sitzungen abmelden. Anschließend löschen sie Festplattenvolumes, überschreiben Ordner und füllen den verbleibenden Speicherplatz. Erst nach diesen Schritten wird die eigentliche Schadsoftware ausgeführt.
Der Wiper tarnt sich als legitime Unternehmenssoftwarekomponente, wird in verschlüsselter Form bereitgestellt und zur Laufzeit entschlüsselt. Sobald er aktiv ist, lässt sich das System nicht mehr starten, und die Daten sind unwiederbringlich verloren. Es gibt weder eine Lösegeldforderung noch Anzeichen für einen Datendiebstahl zu finanziellen Zwecken. Wie die anderen in diesem Artikel behandelten Wiper ist auch Lotus Wiper auf Zerstörung ausgelegt.
Das gleiche Muster wiederholt sich in Echtzeit. Eine Datei überschreitet eine Vertrauensgrenze, wird ausgeführt und zerstört alles, was sie erreichen kann. Die Überprüfung auf Dateiebene, bevor die Nutzlast entschlüsselt wird, bietet die früheste Möglichkeit zur Abfangung.
In dieser Analyse herangezogene Scheibenwischerproben und Indikatoren
Scheibenwischer | Typ | Ziel | Schauspieler | Hash / Indikator |
DynoWiper | Windows PE | Polen, Energie | Sandwurm/ELECTRUM (GRU) | 835b0d87ed2d49899ab6f9479cddb8b4e03f5aeb2365c50a51f9088dcede68d5 |
PathWiper | Windows PE | Ukraine, kritische Infrastruktur | Russland-Bezug | 7c792a2b005b240d30a6e22ef98b991744856f9ab55c74df220f32fe0d00b6b3 |
LazyWiper | PowerShell | Polen, verarbeitendes Gewerbe | Sandwurm/ELECTRUM (GRU) | 033cb31c081ff4292f82e528f5cb78a503816462daba8cc18a6c4531009602c2 |
Lotus-Scheibenwischer | Windows PE | Venezuela, Energie und Versorgungswirtschaft | Unbekannt (geopolitisch motiviert) | 111ea3f5c4a4239a3f5f08de5f243e9d01da9d021fc393e277c1e6cadc27d327 |
Wiper-Angriffe stoppen, bevor sie ausgeführt werden
Wiper-Angriffe folgen über Umgebungen, Branchen und Angreifer hinweg einem einheitlichen Muster. Unabhängig davon, wie sie übertragen werden oder welche Sprache sie verwenden, folgen sie stets dem gleichen Ablauf: Eine Datei überschreitet eine Vertrauensgrenze, wird ausgeführt und zerstört Systemdaten.
Diese Konsistenz eröffnet eine klare Möglichkeit zur Abwehr. Das Erkennen und Analysieren von Dateien, bevor ihnen Vertrauen geschenkt wird, ist nach wie vor eine der wirksamsten Methoden, um Wiper zu stoppen, bevor sie Schaden anrichten können.
MetaDefender geht dieses Problem mit einem mehrschichtigen Ansatz an. Es kombiniert Echtzeit-Reputationsanalyse, fortschrittliches Sandboxing und Verhaltenskorrelation, um unbekannte und schwer zu erkennende Bedrohungen bereits vor ihrer Ausführung zu erkennen. Seine emulationsbasierte Analyse deckt versteckte Payloads auf, entpackt mehrstufige Malware und identifiziert Indikatoren für Kompromittierung, ohne sich auf Signaturen zu stützen.
Für Organisationen, die kritische Infrastruktur betreiben, ermöglicht dieser Ansatz eine frühzeitigere Erkennung bereits am Ausgangspunkt des Angriffs, noch bevor es zu Störungen in den OT-Systemen kommt. Um zu erfahren, wie sich dies auf Ihre Umgebung auswirkt, wenden Sie sich an einen OPSWAT , um MetaDefender zu besprechen.
