Im Juni 2025 wurde die Ukraine erneut Ziel eines schwerwiegenden Cyberangriffs, der massive Störungen in ihrer kritischen Infrastruktur verursachte. Verantwortlich für diese Attacke war eine bislang unbekannte Datenwiper-Malware namens PathWiper, deren Analyse von den Sicherheitsforschern von Cisco Talos veröffentlicht wurde. Die Malware zeichnete sich durch eine gezielte Zerstörung von Daten aus und zeigte fortgeschrittene Techniken, die auf eine hoch entwickelte, strategisch agierende Bedrohungsgruppe hindeuten. Die Bedeutung solcher Angriffe auf kritische Infrastruktur nimmt durch die anhaltenden geopolitischen Konflikte und den zunehmenden Cyberkrieg stetig zu und wirft große Fragen zur Resilienz und Verteidigungsfähigkeit moderner Staaten auf. Bei der Untersuchung der PathWiper-Attacke stellten Experten fest, dass die Angreifer legitime Verwaltungstools nutzten, um Zugang zu administrativen Konsolen zu erhalten.
Dies deutet darauf hin, dass die Cyberkriminellen bereits tief in das Netzwerk des Opfers eingedrungen waren und über weitreichende Zugriffsrechte verfügten. Von der administrativen Konsole aus wurden bösartige Befehle in Form von Batch-Dateien an die Endpunkte übermittelt, die wiederum ein in der Windows TEMP-Umgebung abgelegtes Visual Basic Script namens "uacinstall.vbs" ausführten. Dieses Skript setzte dann die eigentliche Schadsoftware namens PathWiper ein, die als leinwandschlagendes Programm unter dem Namen "sha256sum.exe" erschien, um eine Entdeckung zu erschweren.
Von Beginn an zielte PathWiper präzise auf Speichergeräte und Netzwerklaufwerke ab. Die Malware listete angeschlossene physische und virtuelle Laufwerke auf und überschrieb gezielt kritische Systembereiche wie den Master Boot Record (MBR) und NTFS-relevante Datenstrukturen wie die Master File Table (MFT) und Systemprotokolldateien mit zufällig generierten Daten. Diese destruktive Vorgehensweise erzeugte irreparable Datenverluste und wirkte sich unmittelbar auf die Verfügbarkeit und Integrität der betroffenen Systeme aus. Besonders problematisch ist, dass PathWiper versucht, Laufwerke abzumelden, was weitere Reparaturmaßnahmen erschwert und die Wiederherstellung behindert. Auffällig ist, dass PathWiper Ähnlichkeiten mit früheren Wiper-Schadprogrammen wie HermeticWiper aufweist, der 2024 parallel zur Eskalation des Russland-Ukraine-Kriegs bekannt wurde.
Während beide Malware-Familien MBR und NTFS-Daten beschädigen, unterscheiden sie sich in der technischen Implementation ihrer Zerstörungsmechanismen. Solche Weiterentwicklungen stellen eine große Herausforderung für die Cybersicherheit dar, da Angreifer ihre Werkzeuge kontinuierlich anpassen, um Abwehrmaßnahmen zu umgehen und größere Schäden zu verursachen. Die Verbindung der PathWiper-Attacke zu einem Russland-inspirierten Advanced Persistent Threat (APT) spricht für den Einsatz hochspezialisierter Akteure im Rahmen eines geopolitisch motivierten Cyberkriegs. Diese Gruppierungen verfügen über umfangreiche Ressourcen, tiefgehendes technisches Know-how und gezielte Strategien, um kritische Infrastrukturen zu sabotieren und damit politische und wirtschaftliche Ziele durchzusetzen. Gleichzeitig gewährt die Nutzung legitimer Verwaltungstools Einblick in die Vorgehensweise moderner Cyberkrimineller, die das Umfeld ihrer Opfer genau kennen und Schwachstellen innerhalb interner Systeme ausnutzen.
Die Auswirkungen solcher Angriffe sind immens. Die Beschädigung von System- und Bootdateien führt nicht nur zu unmittelbaren Ausfällen, sondern kann ganze Versorgungsnetze lahmlegen und damit lebenswichtige Dienste wie Energie, Wasser oder Kommunikation unterbrechen. Für die Ukraine, die sich angesichts militärischer Bedrohungen ohnehin in einer kritischen Lage befindet, bedeutet dies zusätzliche Belastungen und erhebliche wirtschaftliche sowie soziale Schäden. Parallel zu PathWiper wächst auch die Bedrohung durch weitere Gruppen, die mit unterschiedlichen Taktiken und Zielen operieren. So wurde beispielsweise im März 2025 die Malwarekampagne „Silent Werewolf“ gegen Unternehmen in Russland und Moldawien entdeckt, die durch Phishing-Methoden diverse Industriesektoren infiltrierte.
Diese Kampagne nutzte multifunktionale Loader und komplexe Dateimanipulation, um Malware wie XDigo zu verbreiten und zugleich systematisch Erkennungsmechanismen zu umgehen. Auch die Nutzung fortschrittlicher Techniken wie die Integration von großen Sprachmodellen (Large Language Models) zur Täuschung von Sicherheitschecks zeigt neue Dimensionen der Cyberangriffe auf. Neben staatlich geförderten Gruppen agieren zudem aktivistische Hacktivisten, die ebenfalls wesentliche Schäden verursachen können. So hat sich die pro-ukrainische Gruppe BO Team durch Angriffe auf russische Organisationen hervorgetan, indem sie verschiedene Exploits und Post-Exploitation Tools nutzte, um Infrastruktur zu sabotieren und durch Ransomware für finanzielle Erpressungen zu sorgen. Diese Akteure weisen ein hohes Maß an Professionalität auf und verfolgen sowohl politische als auch ökonomische Ziele.
Die Vielschichtigkeit der Bedrohungslandschaft macht deutlich, wie wichtig ein ganzheitliches Sicherheitskonzept für kritische Infrastrukturen ist. Organisationen müssen ihre Systeme nicht nur technisch absichern, sondern auch kontinuierlich Schwachstellen analysieren und Mitarbeiterschulungen gegen Phishing und Social Engineering durchführen. Zudem gewinnen die schnelle Erkennung von unautorisierten Zugängen und die Nutzung moderner Incident-Response-Strategien zunehmend an Bedeutung. Auf strategischer Ebene zeigt der Fall PathWiper, dass nationale und internationale Kooperationen im Bereich Cyberabwehr essenziell sind. Informationsaustausch zwischen Sicherheitsforschern, staatlichen Stellen und Unternehmen kann helfen, aufkommende Bedrohungen frühzeitig zu erkennen und zu neutralisieren.
Zudem ist die Entwicklung und Verbreitung neuer Schutztechnologien, etwa im Bereich der Künstlichen Intelligenz und der Verhaltensanalyse, vielversprechend, um komplexen Angriffsmethoden entgegenzuwirken. Im Kontext des russisch-ukrainischen Konflikts nehmen Cyberangriffe auf kritische Infrastruktur eine Schlüsselrolle ein und verdeutlichen, dass moderne Kriegsführung immer stärker digital geprägt ist. Die dabei beobachteten Schadprogramme wie PathWiper spiegeln die Dynamik und den technologischen Wettlauf zwischen Angreifern und Verteidigern wider. Für die Zukunft bleibt zu hoffen, dass durch verbesserte Cybersicherheitsmaßnahmen, Kooperation und technologischen Fortschritt die Resilienz von kritischen Infrastrukturen gesteigert werden kann, um die Sicherheit und Stabilität betroffener Länder zu gewährleisten und den Schaden von Cyberkriegen zu minimieren.
