# Lotus Wiper zielt auf venezolanischen Energiesektor in zerstörerischer Cyberkampagne  Cybersicherheitsforscher haben einen bisher unbekannten Daten-Wiper, **Lotus Wiper**, aufgedeckt, der Ende 2025 und Anfang 2026 bei Angriffen auf Venezuela eingesetzt wurde. ## Details zur zerstörerischen Kampagne Laut den Erkenntnissen von **Kaspersky** wurde der neuartige Datei-Wiper in einer zerstörerischen Kampagne gegen den Energie- und Versorgungssektor in Venezuela eingesetzt. Die Angriffe scheinen nicht finanziell motiviert zu sein. "Zwei Batch-Skripte sind für die Einleitung der zerstörerischen Phase des Angriffs und die Vorbereitung der Umgebung für die Ausführung des endgültigen Wiper-Payloads verantwortlich", so der russische Cybersicherheitsanbieter. "Diese Skripte koordinieren den Beginn der Operation im Netzwerk, schwächen die Systemabwehr und stören den normalen Betrieb, bevor sie einen bisher unbekannten Wiper abrufen, deobfuskieren und ausführen." Nach der Bereitstellung löscht der Wiper Wiederherstellungsmechanismen, überschreibt den Inhalt physischer Laufwerke und löscht systematisch Dateien auf betroffenen Volumes, wodurch das System unbrauchbar wird. ## Zeitpunkt und möglicher geopolitischer Kontext Bemerkenswerterweise wurde der Wiper Mitte Dezember 2025 von einem Rechner in Venezuela auf eine öffentliche Plattform hochgeladen, Wochen vor der US-Militäraktion im Land Anfang Januar 2026. Die Probe wurde Ende September 2025 kompiliert. Obwohl ein direkter Zusammenhang unbestätigt bleibt, hebt **Kaspersky** hervor, dass der Upload "während einer Periode erhöhter öffentlicher Berichte über Malware-Aktivitäten, die auf denselben Sektor und dieselbe Region abzielten", erfolgte, was auf einen hochgradig gezielten Angriff hindeutet. ## Analyse der Angriffskette Der Angriff beginnt mit einem Batch-Skript, das eine mehrstufige Sequenz zur Bereitstellung des Wiper-Payloads auslöst. Das Skript versucht, den Dienst **Windows** Interactive Services Detection (UI0Detect) zu stoppen, der Benutzer benachrichtigen soll, wenn ein Hintergrunddienst versucht, eine grafische Benutzeroberfläche anzuzeigen. Die Anwesenheit von UI0Detect deutet darauf hin, dass das Skript Systeme betrifft, auf denen Versionen vor **Windows** 10 Version 1803 laufen. Das Skript prüft auf eine NETLOGON-Freigabe und greift auf eine entfernte XML-Datei zu. Anschließend führt es ein zweites Batch-Skript aus, nachdem es auf eine entsprechende lokale Datei geprüft hat. "Die lokale Prüfung versucht höchstwahrscheinlich festzustellen, ob der Rechner Teil einer **Active Directory**-Domäne ist", erklärte **Kaspersky**. "Wenn die entfernte Datei nicht gefunden wird, wird das Skript beendet. In Fällen, in denen die NETLOGON-Freigabe anfänglich nicht erreichbar ist, führt das Skript eine zufällige Verzögerung von bis zu 20 Minuten ein, bevor es die entfernte Prüfung erneut versucht." ## Wiper-Funktionalität Das zweite Batch-Skript zählt lokale Benutzerkonten auf, deaktiviert zwischengespeicherte Anmeldungen, meldet aktive Sitzungen ab, deaktiviert Netzwerkschnittstellen und führt den Befehl `diskpart clean all` aus, um alle identifizierten logischen Laufwerke zu löschen. Es verwendet auch `robocopy`, um Ordner rekursiv zu spiegeln oder zu löschen, berechnet den verfügbaren freien Speicherplatz und verwendet `fsutil`, um eine Datei zu erstellen, die das gesamte Laufwerk füllt. Nach der Vorbereitung der Umgebung löscht **Lotus Wiper** Wiederherstellungspunkte, überschreibt physische Sektoren mit Nullen, löscht die Update Sequence Numbers (USN) der Journal-Dateien der Volumes und löscht alle Systemdateien für jedes gemountete Volume. ## Abhilfestrategien Organisationen wird empfohlen, Änderungen an NETLOGON-Freigaben, Aktivitäten zum Auslesen von Anmeldeinformationen oder zur Eskalation von Berechtigungen sowie die Verwendung nativer **Windows**-Dienstprogramme wie `fsutil`, `robocopy` und `diskpart` für zerstörerische Aktionen zu überwachen. **Kaspersky** geht davon aus, dass die Angreifer über Vorkenntnisse der Umgebung verfügten und die Domäne lange vor dem Angriff kompromittiert hatten, da der Wiper auf ältere **Windows**-Versionen abzielt.