Russland scheint bei seinem Angriffskrieg gegen die Ukraine zunehmend auf Zerstörung zu setzen – und das nicht nur am Boden, sondern auch im Internet. So haben Sicherheitsforscher seit dem Einmarsch russischer Truppen bereits drei unterschiedliche Arten an Wiper-Malware auf ukrainischen Computersystemen gefunden.

Datenvernichtung

Der neueste Zugang in dieser Reihe nennt sich CaddyWiper und wurde von der Cybersicherheitsfirma Eset aufgespürt. Das einzige Ziel dieser Malware: Daten zu vernichten und so den Betrieb in den betroffenen Firmen und Organisationen zu stören. Auf infizierten Systemen werden dabei sowohl Nutzerdaten als auch die Partitionsinformationen sämtlicher verbundener Datenträger zerstört.

Die Daten werden dabei komplett überschrieben, womit sie auch nicht mehr wiederherstellbar sind. An dieser Stelle hilft dann nur mehr ein Neuaufbau der betroffenen Systeme – am besten mithilfe eines hoffentlich vorhandenen Backups, das aber selbst vorher noch auf versteckte Schadsoftware untersucht werden muss.

Ausnahmen

Eine interessante Eigenheit: CaddyWiper lässt die sogenannten "Domain Controller" aus, die für die Organisation des internen Netzwerks zuständig sind. Damit soll wohl verhindert werden, dass sich die Angreifer unbeabsichtigt selbst aussperren, wenn der falsche Rechner zerstört wird.

Gefunden wurde CaddyWiper in kurzer Abfolge auf dutzenden Systemen in unterschiedlichen Organisationen. Das legt nahe, dass die Angreifer diese schon zuvor unterwandert hatten und jetzt erst die Wiper-Malware nachinstalliert haben.

Parallelen

Ebenfalls interessant ist die weitere Analyse des Codes: Laut Eset gibt es nämlich praktisch keine Ähnlichkeit zu den in den vergangenen Wochen aufgetauchten HermeticWiper und IsaacWiper. Das legt wiederum nahe, dass derzeit mehrere staatliche Hackergruppen Russlands parallel arbeiten.

Dies aber wiederum nicht erst seit ein paar Wochen. Wie eine frühere Analyse von Eset zeigt, waren HermeticWiper und IsaacWiper zuvor monatelang in Entwicklung. Sie sind also offenbar gezielt für so einen Fall vorbereitet worden. Es ist davon auszugehen, dass dies bei CaddyWiper nicht anders ist.

NotPetya

Solche auf Zerstörung ausgelegte Angriff sind nicht ganz neu. Der wohl bekannteste Vorfall spielte sich ebenfalls in der Ukraine ab: Dort tauchte im Jahr 2017 eine vermeintliche Ransomware-Software auf, die von Sicherheitsforschern NotPetya getauft wurde. Wie sich schnell herausstellte, war diese aber gar nicht auf Erpressung, sondern bloß auf Zerstörung ausgerichtet.

Der Vorfall zeigt aber auch, wie gefährlich die Verwendung solcher Tools ist. NotPetya verbreitete sich rasch durch das Internet und richtete dabei massiven Schaden bei Unternehmen und Organisationen an. Das Weiße Haus hat diesen später auf rund zehn Milliarden Dollar quantifiziert, womit es bis heute als die zerstörerischste aller Cyberattacken gilt.

Abgeschossen

Zu den betroffenen Firmen gehörte etwa Maersk, der Betreiber der weltweit größten Containerschiffsflotte, dem das Ganze alleine einen Umsatzentgang in Höhe von 200 bis 300 Millionen US-Dollar bescherte. Doch auch die Strahlungsmesssysteme im Atomkraftwerk Tschernobyl fielen vorübergehend aus, und nicht ganz ohne Ironie hatte sogar die russische Ölfirma Rosneft mit Problemen zu kämpfen.

Genau aus diesen Gründen wird NotPetya heutzutage auch gerne als Beispiel für die Gefahren des Einsatzes von zerstörerischen Cyberwaffen genannt, da diese oft nicht vollständig unter Kontrolle zu halten sind und so massiven Schaden quer über die Welt verursachen können. (Andreas Proschofsky, 15.3.2022)