Wiper-Malware: Zerstören statt verschlüsseln

27.10.2022

Was ist Wiper-Malware und woran erkennt man sie?

Auf den ersten Blick zeigt Wiper-Malware Ähnlichkeiten mit Ransomware. Das Ziel ist jedoch ein anderes. Wiper-Angriffe haben es nicht auf Lösegeld abgesehen, sondern einzig und allein darauf, Daten und IT-Systeme möglichst nachhaltig zu zerstören. Unerklärliche Datenverluste sind damit ein möglicher Hinweis auf Wiper-Malware im System.

Wiper-Malware überschreibt, löscht oder verschlüsselt relevante Systemkomponenten, Daten oder Dateien zur Systemwiederherstellung, um Geräte oder die ganze Unternehmens-IT funktionsunfähig und Daten unbrauchbar zu machen. Manche Varianten löschen die Daten nicht einfach, sondern sorgen bewusst für falsche Informationen, um z.B. auch Backups langfristig nutzlos zu machen oder um physikalische Systeme zu beschädigen. Erst im Zuge der Wiederherstellung wird dann ersichtlich, dass die Sicherungen wertlos sind.

Wer nutzt Wiper-Malware?

Wiper-Malware kann von professionellen Cyberkriminellen genutzt werden, um ihre Spuren zu verwischen, nachdem sie Informationen aus einem Netzwerk abgezogen haben. Nicht weniger realistisch sind gezielte Angriffe, um einen vollen Ausfall der IT-Systeme zu erreichen. Die Folgen reichen von Datenverlusten über die Zerstörung physischer Komponenten bis hin zur Gefährdung von Menschenleben.

Schon die ersten im Umlauf befindlichen Virus-Varianten hatten häufig die Nebenwirkung, Systeme nach einiger Zeit unbrauchbar zu machen. Meist blieb der Effekt auf den lokal infizierten Computer beschränkt. Durch die Vernetzung von Rechnern und Systemen und gezielte Funktionen der Malware sind die Auswirkungen heute weitrechender. NotPetya nutzte 2017 eine aktuelle Sicherheitslücke in Microsoft und breitete sich damit schnell über die ursprünglichen Ziele in der Ukraine hinaus auf der ganzen Welt aus. Sie legte einige der größten Unternehmen lahm, verursachte geschätzte 10 Mrd. US-Dollar Gesamtschaden und war damit der bisher finanziell schädlichste Cyberangriff.

Welche Schutzmaßnahmen wirken gegen Wiper-Malware?

Aggressive Schadsoftware kann nicht nur Software und Daten, sondern auch Hardware in Form von BIOS und Firmware-Schwachstellen angreifen und langfristig unbrauchbar machen. Daher sollten beide Ebenen in einem Notfall- und Wiederherstellungsplan berücksichtigt werden, um zumindest einen ersten Notbetrieb zu ermöglichen. Berücksichtigen Sie dabei, welche Ausfälle und Datenverluste noch akzeptabel sind und welche Abhängigkeiten zu diesen Systemen bestehen.

Neben Ersatzhardware für die wichtigsten Komponenten kann auch die schnelle Verfügbarkeit von Cloud-Diensten für zusätzliche Backups und Wiederherstellungs-Optionen eine sinnvolle Ergänzung sein. Es muss jedoch sichergestellt werden, dass diese Notfallpläne im Fehlerfall funktionieren und sich nicht inzwischen wichtige Parameter in den Umgebungen verändert haben.

Checkliste für grundlegende Präventionsmaßnahmen:

Erstellen Sie mehrstufige und geografisch getrennte Online- und Offline-Backups, die regelmäßig auf korrekte Wiederherstellbarkeit geprüft werden. Die Nutzung verschiedener Betreiber kann dabei die Ausfallsicherheit maximieren.
Identifizieren Sie die wichtigsten Komponenten und Funktionen in ihrer IT-Umgebung und segmentieren Sie Netzwerke.
Nutzen Sie Antiviren-Lösungen, EDR und E-Mail-Security, um Einfallstore zu sichern und Malware im Netzwerk zu erkennen.
Schulen Sie Mitarbeiter/innen regelmäßig und steigern Sie die Cyber-Security-Awareness, indem Sie zu aktuellen Gefahren und Risiken informieren.
Überprüfen Sie Systemprotokolle und Netzwerke, um Anomalien zu identifizieren und Ereignisse zuzuordnen.
Setzen Sie Cyber Threat Intelligence ein, um Sicherheitsvorkommnisse und Anomalien einschätzen, zu ordnen und beantworten zu können.
Erstellen Sie einen Incident Response Plan, um im Fall sicherheitsrelevanter Ereignisse effektiv reagieren zu können.

Genauere Informationen finden Sie auf der Website von Ikarus Security unter https://www.ikarussecurity.com/security-news/wiper-malware/

<< zurück