Schad-Software Was ist ein Wiper?

Anbieter zum Thema

DataCore Software GmbH

FAST LTA GmbH

Impossible Cloud GmbH

Ein Wiper ist ein Typ von Schad-Software, der Daten auf einem infizierten System löscht oder beschädigt. Dadurch werden Dateien, Anwendungen oder komplette Systeme unbrauchbar. Ziel des Wipers ist es, dem infizierten System möglichst großen Schaden zuzufügen. Wiper werden beispielsweise für die Cyberkriegsführung und für Sabotageakte eingesetzt.

Wiper ist die Bezeichnung für einen besonderen Typ von Schad-Software oder Malware, der darauf abzielt, Daten zu löschen oder zu beschädigen und infizierte Systeme dadurch unbrauchbar zu machen. Manchmal wird für diesen Malware-Typ auch die Bezeichnung Wiperware verwendet. Aufgetaucht ist die Bezeichnung Wiper erstmals im Jahr 2012 im Zusammenhang mit Cyberangriffen auf iranische Ölterminals und saudi-arabische Öl- und Gasunternehmen.

Typische Einsatzbereiche von Wiper sind Cyberkriege und Sabotageakte. Wiperware kann kritischen Infrastrukturen oder Unternehmen erhebliche Schäden zufügen und wird unter anderem von Geheimdiensten oder Terrororganisationen verwendet. Bekannte Beispiele für Wiperware sind NotPetya oder Shamoon, SwiftSlicer, Olympic Destroyer und ZeroCleare. NotPetaya zum Beispiel ist im Gegensatz zur Ransomware Petaya nicht auf Lösegeldzahlung aus, sondern wirkt rein destruktiv und bietet keine Möglichkeit, die von der Malware verursachten Schäden rückgängig zu machen.

Die Ziele eines Wipers sind kurz zusammengefasst folgende:

• Daten löschen, zerstören oder unbrauchbar machen,

• Anwendungen oder Systeme unbrauchbar machen,

• möglichst große Schäden auf den betroffenen Systemen anrichten,

• Unternehmen, Staaten, kritische Infrastrukturen oder Institutionen nachhaltig zu schwächen (zum Beispiel durch Sabotageakte),

• Chaos verursachen, Angst und Unsicherheit auslösen,

• Spuren verwischen, Beweise vernichten und Untersuchungen erschweren.

Prinzipielle Funktionsweise von Wiperware

Wiperware bietet im Gegensatz zur Ransomware keine Möglichkeit der Datenwiederherstellung und wirkt rein destruktiv. Daten werden nachhaltig gelöscht, zerstört oder unbrauchbar gemacht. Hierfür können verschiedene Verfahren und Techniken zum Einsatz kommen. Daten werden beispielsweise mehrfach mit Zufallszahlen oder Nullwerten überschrieben oder unumkehrbar verschlüsselt.

Einige Wiper-Varianten beschädigen den Master File Table (MFT) eines Dateisystems oder den Master Boot Records einer Festplatte. Dadurch werden komplette Verzeichnissysteme oder Festplatten unbrauchbar, und Server können beispielsweise nicht mehr booten. Um den Schaden zu maximieren und die Wiederherstellung des betroffenen Systems zu verhindern, werden oft auch Backups und die Systemwiederherstellung oder Wiederherstellungs-Software angegriffen und unbrauchbar gemacht.

Abwehr- und Schutzmaßnahmen

Wiper nutzen gleiche Infizierungs- und Verbreitungswege wie andere Malware, zum Beispiel Ransomware. Dementsprechend können zum Schutz vor Wiperware ähnliche Maßnahmen zum Einsatz kommen. Typische präventive Abwehr- und Schutzmaßnahmen sind:

• Einsatz von Antimalware-Lösungen, E-Mail-Security, Firewalls, IDS und IPS und anderen Schutzlösungen,

• regelmäßiges Updaten und Patchen der Systeme,

• regelmäßige Datensicherungen,

• per Air-Gap getrennte Aufbewahrung der Backups,

• Schulung und Sensibilisierung der Mitarbeiter gegenüber Wiperware,

• Monitoring von System- und Netzwerkprotokollen und Logging-Daten zur Identifizierung von Anomalien,

• Einführung eines effektiven Incident-Managements.

Ist ein System von einem Wiper betroffen, ist schnelles Handeln erforderlich. Die Systeme müssen schnell vom Netzwerk getrennt und heruntergefahren werden, um eine Weiterverbreitung der Wiperware zu verhindern und das Zerstören weiterer Daten zu unterbinden.

(ID:50441631)