Wiper-Malware: zerstören statt nur erpressen

22. September, 2022

Die Bedrohungslandschaft ist um eine relevante Gefahr reicher geworden: Neben IoT-Botnets hat der Einsatz von Wiper-Malware 2022 stark zugenommen. [1]

Was ist Wiper-Schadsoftware und woran erkennt man sie?

Auf den ersten Blick zeigt Wiper-Malware Ähnlichkeiten mit Ransomware. Das Ziel ist jedoch ein anderes. Wiper-Angriffe haben es nicht auf Lösegeld abgesehen, sondern einzig und allein darauf, Daten und IT-Systeme möglichst nachhaltig zu zerstören. Unerklärliche Datenverluste sind damit ein möglicher Hinweis auf Wiper-Malware im System.

Wiper-Malware überschreibt, löscht oder verschlüsselt relevante Systemkomponenten, Daten oder Dateien zur Systemwiederherstellung, um Geräte oder die ganze Unternehmens-IT funktionsunfähig und Daten unbrauchbar zu machen. Manche Varianten löschen die Daten nicht einfach, sondern sorgen bewusst für falsche Informationen, um z.B. auch Backups langfristig nutzlos zu machen oder um physikalische Systeme zu beschädigen. Erst im Zuge der Wiederherstellung wird dann ersichtlich, dass die Sicherungen wertlos sind.

Wer nutzt Wiper-Malware?

Wiper-Malware kann von professionellen Cyberkriminellen genutzt werden, um ihre Spuren zu verwischen, nachdem sie Informationen aus einem Netzwerk abgezogen haben. Nicht weniger realistisch sind gezielte Angriffe, um einen vollen Ausfall der IT-Systeme zu erreichen. Die Folgen reichen von Datenverlusten über die Zerstörung physischer Komponenten bis hin zur Gefährdung von Menschenleben.

Schon die ersten im Umlauf befindlichen Virus-Varianten hatten häufig die Nebenwirkung, Systeme nach einiger Zeit unbrauchbar zu machen. Meist blieb der Effekt auf den lokal infizierten Computer beschränkt. Durch die Vernetzung von Rechnern und Systemen und gezielte Funktionen der Malware sind die Auswirkungen heute weitrechender. NotPetya nutzte 2017 eine aktuelle Sicherheitslücke in Microsoft und breitete sich damit schnell über die ursprünglichen Ziele in der Ukraine hinaus auf der ganzen Welt aus. Sie legte einige der größten Unternehmen lahm, verursachte geschätzte 10 Mrd. US-Dollar Gesamtschaden und war damit der bisher finanziell schädlichste Cyberangriff.

NotPetya und andere erfolgreiche Wiper-Varianten

NotPetya als eines der prominentesten Beispiele für Wiper-Malware tarnte sich gezielt als Ransomware, nur um durch das Ablenkungsmanöver mehr Zeit zum Löschen von Daten zu gewinnen. Shamoon und ZeroCleare machten sich vor einigen Jahren mit der Zerstörung von Festplatten bzw. Festplattenpartitionen und Master Boot Records in der Industrie einen Namen. [2]

Seine nachhaltige Wirkung verdankte NotPetya auch der gezielten Kompromittierung des Verzeichnisdienstes von Microsoft, des Active Directory. Solch verteilte Systeme werden oft fälschlicherweise als „redundant“ betrachtet, da die Funktion von mehreren Servern bereitgestellt wird. Unbrauchbar gemachte Daten werden jedoch sofort repliziert. Ist der Dienst massiv beeinträchtigt, zeigen sich Schwächen bei der notwendigen Backup- und Wiederherstellungsstrategie. Wichtig ist, nicht nur den Ausfall eines Systems zu erkennen, sondern auch, ab wann Daten absichtlich manipuliert wurden, um dann eine Wiederherstellung zu ermöglichen. [3]

Welche Schutzmaßnahmen wirken gegen Wiper-Malware?

Aggressive Schadsoftware kann nicht nur Software und Daten, sondern auch Hardware in Form von BIOS und Firmware-Schwachstellen angreifen und langfristig unbrauchbar machen. [4] Daher sollten beide Ebenen in einem Notfall- und Wiederherstellungsplan berücksichtigt werden, um zumindest einen ersten Notbetrieb zu ermöglichen. Berücksichtigen Sie dabei, welche Ausfälle und Datenverluste noch akzeptabel sind und welche Abhängigkeiten zu diesen Systemen bestehen.

Neben Ersatzhardware für die wichtigsten Komponenten kann auch die schnelle Verfügbarkeit von Cloud-Diensten für zusätzliche Backups und Wiederherstellungs-Optionen eine sinnvolle Ergänzung sein. Es muss jedoch sichergestellt werden, dass diese Notfallpläne im Fehlerfall funktionieren und sich nicht inzwischen wichtige Parameter in den Umgebungen verändert haben.

Checkliste für grundlegende Präventionsmaßnahmen:

  • Erstellen Sie mehrstufige und geografisch getrennte Online- und Offline-Backups, die regelmäßig auf korrekte Wiederherstellbarkeit geprüft werden. Die Nutzung verschiedener Betreiber kann dabei die Ausfallsicherheit maximieren.
  • Identifizieren Sie die wichtigsten Komponenten und Funktionen in ihrer IT-Umgebung und segmentieren Sie Netzwerke.
  • Nutzen Sie Antiviren-Lösungen, EDR und E-Mail-Security, um Einfallstore zu sichern und Malware im Netzwerk zu erkennen.
  • Schulen Sie Mitarbeiter*innen regelmäßig und steigern Sie die Cyber-Security-Awareness, indem Sie zu aktuellen Gefahren und Risiken informieren.
  • Überprüfen Sie Systemprotokolle und Netzwerke, um Anomalien zu identifizieren und Ereignisse zuzuordnen.
  • Setzen Sie Cyber Threat Intelligence ein, um Sicherheitsvorkommnisse und Anomalien einschätzen, zu ordnen und beantworten zu können.
  • Erstellen Sie einen Incident Response Plan, um im Fall sicherheitsrelevanter Ereignisse effektiv reagieren zu können.

Learnings für Prävention und Reaktion auf Wiper-Angriffe

Wiper-Malware ist besonders destruktiv. Im Unterschied zu Ransomware ist nach einer Datenverschlüsselung keine Möglichkeit zur Wiederherstellung vorgesehen. Durch die Beeinträchtigung von Systemen und die Zerstörung wertvoller Daten und Einrichtungen kann Wiper-Malware dauerhaft großen Schaden in Unternehmen anrichten. Eine kontrollierte mehrstufige Datensicherung mit verteilter externer Speicherung, gemeinsam mit einem Plan zur Wiederherstellung der Systeme, ist die beste Vorsorge, um solche Angriffe abzuwehren. Netzwerk-Monitoring kann dazu beitragen, Angriffe früh zu erkennen, effektives Incident Response Management kann helfen, diese schnell zu stoppen und große Datenverluste zu verhindern.

Achten Sie bei allen Maßnahmen auf regelmäßige Übung und Verifikation, um mögliche Probleme in der Abwehr und im Wiederherstellungskonzept rechtzeitig zu erkennen.

Das könnte Sie auch interessieren:

So schützen Sie sich vor der BlackCat-Ransomware
Datenrettung nach Ransomware DeadBolt

Quellen:

[1] https://www.nozominetworks.com/press-release/nozomi-networks-labs-report-wipers-and-iot-botnets-dominate-the-threat-landscape-manufacturing-and-energy-at-highest-risk/
[2] https://www.packetlabs.net/posts/how-does-wiper-malware-work/
[3] https://www.industrialcybersecuritypulse.com/threats-vulnerabilities/throwback-attack-how-notpetya-accidentally-took-down-global-shipping-giant-maersk/
[4] https://news.cnrs.fr/articles/when-cyber-attacks-target-hardware

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download