Die Risiken für Unternehmen durch Wiper-Malware

Was ist Wiper-Malware?

Wie der Name schon sagt, löscht Wiper-Malware die Systeme eines Opfers. Diese auch als Wiperware bezeichnete Schadsoftware ist darauf ausgelegt, alle Daten und Programme in der Infrastruktur eines Unternehmens vollständig zu zerstören. Wiperware wird häufig in der Cyberkriegsführung und bei Angriffen auf Regierungsbehörden, kritische Infrastrukturen und geschäftskritische Prozesse eingesetzt.

Im Gegensatz zu Ransomware und Phishing, bei denen nach einem Angriff eine gewisse Möglichkeit zur Datenwiederherstellung besteht, führt Wiperware zu einem vollständigen Verlust und zur Zerstörung. Aufgrund ihrer verheerenden Wirkung und ihres Schweregrads kann Wiper-Malware für ein Unternehmen existenzbedrohend sein, da ihr Zweck darin besteht, Daten zu zerstören.

Wiper-Malware wurde erstmals 2012 erwähnt, als Kaspersky-Forscher Informationen über die Wiper-Malware veröffentlichten, die gegen iranische Computersysteme eingesetzt wurde, sowie über die Shamoon-Wiperware, die gegen ein in Saudi-Arabien ansässiges Öl- und Gasunternehmen eingesetzt wurde.

Zu dieser Zeit war Wiperware noch nicht weit verbreitet, da sie das Gewinnmotiv für Cyberangreifer eliminiert. Der erste große Anstieg von Wiperware wurde 2022 von mehreren Unternehmen im Bereich der Vorfallreaktion festgestellt, nachdem Russland den Angriff auf die Ukraine gestartet hatte.

In den Jahren danach wurde Wiperware bei vielen hochkarätigen Sicherheitsverletzungen und Cyberkriegsangriffen eingesetzt. Zu den bekanntesten Varianten gehören NotPetya, Industroyer, HermeticWiper, HermeticWizard und HermeticRansom.

Auswirkungen von Wiperware auf Unternehmen

Wiperware kann eine Organisation auf verschiedene Arten beeinträchtigen:

• Beschädigung der Master File Table (MFT). Die MFT stellt in einem Dateisystem einen Index für alle Dateien bereit, die auf einem System oder Medium gespeichert sind. Wenn die MFT beschädigt wird, kann dauerhaft nicht mehr auf die Dateien zugegriffen werden.
• Entfernung des Master Boot Records. Der MBR enthält Anweisungen für das Gerät zur richtigen Startreihenfolge. Wenn diese durch Wiperware beeinträchtigt wurde, kann das System nicht hochfahren und ist somit unbrauchbar.
• Dateiverschlüsselung. Wiper-Malware kann Dateien verschlüsseln, aber im Gegensatz zu Ransomware wird auch der Entschlüsselungscode vollständig gelöscht. Dadurch wird jede Chance zunichte gemacht, die betroffenen Dateien und Systeme zu retten.
• Überschreiben von Dateien. Wiperware kann alle Dateien überschreiben und vollständig ersetzen, indem sie Nullwerte oder Ziffernfolgen verwendet.

Wiperware unterscheidet sich in den Folgen von anderen Malware-Typen wie Trojaner, Viren oder Würmer, deren Auswirkungen nicht immer sofort unmittelbar bemerkt werden. Sobald ein Unternehmen von Wiperware betroffen ist, wird dies sofort offensichtlich, da auf den betroffenen Geräten, VMs oder virtuellen Desktops auf nichts mehr zugegriffen werden kann. Zu diesem Zeitpunkt ist es zu spät, um noch etwas dagegen zu unternehmen.

Was ist die Motivation hinter Wiperware?

Da ein Wiperware-Angriff keinen echten finanziellen Gewinn abwirft, bleibt die Frage: Warum setzen Cyberangreifer ihn ein? Im Folgenden werden einige der Hauptgründe aufgeführt:

• Sabotage. Da Wiperware hauptsächlich für die Cyberkriegsführung eingesetzt wird, ist sie das Mittel der Wahl, wenn das Ziel die vollständige Ausschaltung des Opfers oder des Feindes ist.
• Unsicherheiten und Angst auslösen. Wenn keine Chance mehr auf eine Wiederherstellung von Daten und Systemen besteht, kann Wiperware auch auf psychologischer Ebene Auswirkungen auf das Ziel haben. Beispielsweise könnten Menschen anfangen, das Vertrauen in die Fähigkeiten ihrer Unternehmensführung oder sogar ihrer gesamten Regierung zu verlieren, wenn es lange dauert, bis irgendwelche Rettungsmaßnahmen eingeleitet werden.
• Beweise vernichten. Einige Ransomware-Varianten enthalten eine Wiper-Komponente. Wenn beide bei einem Sicherheitsverstoß zusammen eingesetzt werden, werden digitale Beweise für einen Angriff vollständig gelöscht, wodurch jegliche Art von Untersuchung völlig nutzlos wird.

Wie man Wiper-Malware-Angriffe abwehrt

Kein Unternehmen und keine Einzelperson sind davor gefeit, Opfer eines Wiperware-Angriffs zu werden. Daher ist Prävention der entscheidende Faktor. Wenden Sie die folgenden Strategien an, um die Risiken durch Wiperware-Angriffe zu minimieren:

Backups erstellen. Wenn Organisationen regelmäßig Daten sichern, können betroffene Geräte ersetzt und die Daten darauf wiederhergestellt werden. Achten Sie darauf, dass die Backups unveränderlich und verteilt sind (siehe auch 3-2-1-1-0-Backup-Strategie: Neue Anforderungen erfüllen).

E-Mail-Sicherheit. Phishing ist eine gängige Methode zur Verbreitung von Wiperware. Sicherheitsteams sollten eine solide E-Mail-Sicherheitsrichtlinie erstellen und E-Mail-Sicherheitstools einsetzen, um E-Mail-Umgebungen zu schützen.

Patches und Updates regelmäßig anwenden. Cyberangreifer suchen ständig nach Hintertüren, durch die sie eindringen können. Viele dieser Hintertüren befinden sich in ungepatchten Systemen. Bleiben Sie über Patches und Upgrades auf dem Laufenden, um Hintertüren und Schwachstellen zu vermeiden (siehe auch Kostenloses eBook: Praxisratgeber Patch-Management).

MFA und Zero Trust anwenden. Multifaktor-Authentifizierung und Zero Trust zusammen implementieren und anwenden, um die Kontodaten vor Kompromittierung zu schützen.

Sichere Endpunkte. Endpunkte sind bevorzugte Ziele für die Bereitstellung von Wiper-Malware. Sichern Sie Endpunkte mithilfe von EDR-Lösungen, Antimalware, Verwaltung mobiler Geräte, DLP-Tools und anderen Endpunkt-Sicherheits-Werkzeugen.