Iranische Wiper-Angriffe sind nichts Neues und werfen für CISOs immer dieselbe Frage auf: Wie hält man den Geschäftsbetrieb aufrecht, wenn das einzige Ziel eines Angreifers darin besteht, die eigene Umgebung zu zerstören?
Iranische Wiper-Angriffe zielen darauf ab, Daten zu zerstören und kritische Infrastruktur lahmzulegen, was zu langfristigen Ausfällen und weitreichenden, globalen Auswirkungen führt. Im Gegensatz zu Ransomware-Gruppen, die Zeit benötigen, um einen Einbruch zu monetarisieren, handeln destruktive Akteure schnell – ihr Ziel ist eine Störung im grösstmöglichen Umfang, nicht finanzieller Gewinn. Sobald sie Zugang zu einem Netzwerk erlangt haben, bewegen sie sich lateral, erweitern ihre Berechtigungen und löschen so viele Systeme wie möglich, bevor die Verteidiger begreifen, was überhaupt vor sich geht.
Das Ausmass dieser Angriffe ist keine theoretische Annahme. Im März 2026 griff die mit dem Iran in Verbindung stehende Gruppe auch Stryker an, einen Fortune 500-Hersteller, dessen lebensrettende Geräte in Operationssälen und Krankenhäusern auf der ganzen Welt zu finden sind. Handala löschte die Daten auf mehr als 200.000 Geräten im globalen Netzwerk von Stryker, was zu einem Betriebsstillstand in 79 Ländern führte. 50 Terabyte an Daten wurden extrahiert und 56.000 Mitarbeiter waren betroffen – Produktion, Auftragsabwicklung und Versand kamen zum Erliegen.
In einem aktuellen CyberHub-Podcast hat James Azar die Konsequenzen für CISOs klar auf den Punkt gebracht: „Wiper-Malware ist real, das sind Fragen, die vom Vorstand und von der Führungsspitze kommen werden. Wenn das System ausfällt, können die Auswirkungen weltweit Krankenhäuser und medizinische Dienstleister erreichen.“
Jüngste Wiper-Angriffe: Funktionsweise und Abwehrmassnahmen
Jüngste Untersuchungen zu dem mit dem Iran in Verbindung stehenden Bedrohungscluster Handala oder Void Manticore zeigen, wie sich diese Angriffe tatsächlich abspielen. Die Gruppe stützt sich stark auf manuelle, praktische Operationen innerhalb der Umgebungen der Opfer und nutzt dabei oft gängige Administrationstools und öffentlich verfügbare Software anstelle hochentwickelter Malware (Check Point Research). Diese Angriffe sind nicht deshalb erfolgreich, weil die Malware hochentwickelt ist, sondern weil Unternehmen oft nicht erkennen oder kontrollieren können, was Angreifer tun, sobald sie sich im Netzwerk befinden.
Um zerstörerische Angriffe zu stoppen, sind daher zwei Fähigkeiten erforderlich: Erstens müssen die Verteidiger in Echtzeit wissen, was im Netzwerk geschieht, und zweitens müssen sie kontrollieren, wie Identitäten und Systeme miteinander verbunden werden können. Wenn diese Kontrollen vorhanden sind, können Angreifer zwar immer noch eindringen, aber sie können sich nicht weiterbewegen.
Die Realität moderner iranischer Wiper-Angriffe
Die Bedrohungsinformationen zu Handala zeigen ein konsistentes Muster: Dies beginnt mit dem ersten Zugriff über VPN und schnellen praktischen Aktivitäten innerhalb der Umgebung. Es folgen eine laterale Bewegung unter Verwendung nativer administrativer Protokolle wie RDP und der gleichzeitige Einsatz mehrerer Löschmethoden.
Die Angreifer kombinieren häufig massgeschneiderte Wiper mit öffentlich verfügbaren Löschtools und Skripten, wodurch Indikatoren nur von kurzer Dauer sind und die Erkennung erschwert wird. Forscher haben zudem beobachtet, dass sich die Angreifer mithilfe von Tools wie NetBird in die Netzwerke der Opfer einklinken, wodurch sie verdeckte Zugriffspfade aufrechterhalten können, während sie zerstörerische Aktivitäten ausführen. Die Konsequenz für Verteidiger: Herkömmliche Perimeter-Abwehrmassnahmen und Malware-Erkennung allein werden diese Angriffe nicht stoppen. Verteidiger müssen kontrollieren, wie der Zugriff genutzt wird, sobald er innerhalb der Umgebung besteht.
- Gestohlene Zugangsdaten dürfen nicht zum Netzwerkzugang führen
Die meisten zerstörerischen Angriffe beginnen mit kompromittierten Zugangsdaten, wie auch das israelische National Cyber Directorate bestätigte, worüber Unit 42 berichtete: „Das National Cyber Command hat Berichte über mehrere Fälle erhalten, in denen Angreifer Zugang zu Unternehmensnetzwerken erlangten und auf Servern und Workstations Daten löschten, um den Betrieb der angegriffenen Organisationen zu stören. In einigen Fällen verfügte der Angreifer über Zugangsdaten von legitimen Unternehmensnutzern, um sich einen ersten Zugang zum Netzwerk zu verschaffen.“
Kampagnen mit Verbindungen zum Iran stützen sich häufig auf Phishing, gestohlene Passwörter oder von kriminellen Vermittlern erworbene Zugangsdaten. Sobald sich Angreifer erfolgreich authentifiziert haben, versuchen sie, interne Verwaltungsdienste zu erreichen. Viele Unternehmen gewähren nach der VPN-Authentifizierung immer noch weitreichenden internen Netzwerkzugang. Genau darauf setzen Angreifer.
CISOs sollten daher identitätsbasierten Zugriff anstelle einer pauschalen Netzwerkverbindung implementieren, MFA beim Zugriff auf Verwaltungsdienste erzwingen – nicht nur bei der Anmeldung – und kontinuierlich überwachen, welche Identitäten sich mit welchen Systemen verbinden. Selbst wenn Angreifer sich erfolgreich authentifizieren, können sie dann ohne zusätzliche Verifizierung keine Verbindung zu sensiblen Diensten wie RDP, SMB oder Verwaltungs-Shells herstellen. Anmeldedaten allein reichen nicht mehr aus.
- Laterale Bewegung über privilegierte Ports verhindern
Iranische Akteure bewegen sich in der Regel lateral unter Verwendung von Standard-Verwaltungstools, die bereits in der Umgebung vorhanden sind. Dazu gehören RDP, PowerShell-Remoting, WMI, SMB und SSH. Da diese Dienste aus Gründen der betrieblichen Zweckmässigkeit häufig offengelassen werden, können sich Angreifer oft schnell im Netzwerk bewegen. Wie James Azar von CyberHub es formulierte: „Flache Netzwerke erweisen sich bei dieser Art von Angriffen nicht immer als widerstandsfähig. Segmentierung zahlt sich daher aus.“
Gegenmassnahmen erfordern standardmässig verweigerten Zugriff auf administrative Ports und einen Zugriff, der sich nur öffnet, wenn sich Administratoren explizit authentifizieren. Ebenso nötig ist Echtzeit-Mapping, welche Systeme miteinander kommunizieren dürfen. Anstelle von Hunderten offener Pfade im Netzwerk erfolgt der administrative Zugriff somit temporär, verifiziert und kontrolliert. Angreifer, die versuchen, sich weiter vorzuarbeiten, stossen auf verschlossene Türen.
- Privilegierte Konten auf tatsächlich verwaltete Systeme beschränken
Handala-Kampagnen beinhalten oft manuelle Vorgänge, bei denen Angreifer direkt mit kompromittierten Systemen interagieren. Wenn in dieser Phase ein privilegiertes Konto kompromittiert wird, kann sich der Schaden rasch ausbreiten. In vielen Umgebungen haben Administratoren immer noch Zugriff auf fast jedes System. Das ist betrieblich praktisch, aber auch gefährlich.
Stattdessen ist eine Segmentierung auf Basis von Identität und Rolle erforderlich, einschliesslich Einschränkungen, die Administratoren an bestimmte Systeme oder Umgebungen binden. Hinzukommt eine kontinuierliche Überwachung privilegierter Zugriffsaktivitäten. Selbst wenn Angreifer ein Administratorkonto kompromittieren, können sie dann nicht die gesamte Umgebung erreichen. Der Schadensradius schrumpft erheblich.
- Unbefugte Zugriffspfade erkennen und unterbinden
Jüngste Untersuchungen zeigen, dass iranische Akteure Netzwerk-Tunneling-Tools einsetzen, um verdeckte Verbindungen innerhalb der Umgebungen ihrer Opfer aufrechtzuerhalten. Diese Tunnel können herkömmliche Perimeterüberwachung umgehen. Unternehmen benötigen daher nicht nur Sichtbarkeit am Edge, also Rand des Netzwerks, sondern auch innerhalb des Netzwerks.
Dies umfasst kontinuierliche Sichtbarkeit der Ost-West-Netzwerkkonnektivität, Baselines für normale administrative Kommunikation und die Erkennung ungewöhnlicher Verbindungspfade oder Tunnel. Angreifer, die versuchen, versteckte Zugangskanäle zu etablieren, werden schnell sichtbar, sodass Verteidiger eingreifen können, bevor zerstörerische Aktivitäten beginnen.
- Zerstörerische Aktivitäten eindämmen, bevor sie sich ausbreiten
Wenn iranische Wiper ausgeführt werden, setzen sie oft mehrere Löschmechanismen gleichzeitig ein, um den Schaden zu maximieren. Die Geschwindigkeit dieser Angriffe bedeutet, dass die Reaktionszeit wichtiger ist als die Erkennungszeit. Die effektivsten Unternehmen konzentrieren sich auf die Eindämmung.
Zu den entscheidenden Massnahmen zählen die automatische Isolierung verdächtiger Systeme, die sofortige Einschränkung administrativer Zugriffspfade und die Fähigkeit, kompromittierte Hosts schnell abzuriegeln. Anstatt Daten auf Hunderten von Rechnern zu löschen, wird der Angriff auf einen kleinen Teil des Netzwerks beschränkt. Ein Unternehmen kann einem solchen begrenzten Vorfall dann besser überstehen.
Strategische Lehre für Sicherheitsverantwortliche
Die vom Iran ausgehenden zerstörerischen Kampagnen zeigen, dass Angreifer keine ausgefeilte Malware benötigen, wenn Netzwerke uneingeschränkten internen Zugriff zulassen. Die wirksamste Verteidigung besteht nicht einfach darin, bösartige Dateien früher zu erkennen. Sie besteht darin, dem Angreifer die Bewegungsfreiheit zu nehmen.
Unternehmen, die destruktive Angriffe konsequent abwehren, verfügen über drei gemeinsame Fähigkeiten: erstens Sichtbarkeit darüber, wer in der gesamten Umgebung auf was zugreifen kann, zweitens Kontrolle über administrative Ports und privilegierten Zugriff und drittens eine automatisierte Eindämmung, die den Ausbreitungsradius begrenzt. Wenn diese drei Fähigkeiten vorhanden sind, können Angreifer zwar immer noch eindringen, sich aber nicht weiterbewegen. Erst wenn Angreifer sich nicht weiterbewegen können, scheitern destruktive Angriffe dieser Art.
Weitere Infos: zeronetworks.com
Lesen Sie auch: Leitfaden zum Schutz vor Ransomware
