GigaWiper-Backdoor: Neuer Windows-Schädling kombiniert drei Wiping-Techniken
Veröffentlicht: 10.07.2026 um 15:23 Uhr, Redaktion boerse-global.de
Ein hochentwickelter Windows-Backdoor namens GigaWiper bedroht Unternehmen weltweit. Die Schadsoftware kombiniert mehrere Zerstörungsmechanismen in einem einzigen Werkzeug.
Microsofts Sicherheitsexperten haben am 9. Juli eine detaillierte Analyse des neuartigen Schädlings veröffentlicht. GigaWiper – auch unter dem Namen BLUERABBIT bekannt – ist seit mindestens acht Monaten aktiv. Erste Spuren reichen bis Oktober 2025 zurück. Sicherheitsforscher sehen darin einen Wendepunkt in der Bedrohungslandschaft: Nie zuvor bündelte ein Wiper so viele zerstörerische Fähigkeiten in einem modularen System.
Modulbauweise für systemweite Sabotage
Die in der Programmiersprache Go geschriebene Malware fungiert als Komplettwerkzeug für Angreifer. Sie vereint Komponenten aus drei unterschiedlichen Schadsoftware-Familien und bietet damit mehrere Methoden der Datenvernichtung:
- Ein eigenständiger Rohdatentilger auf Festplattenebene
- Ein mehrstufiger Löscher basierend auf FlockWiper
- Ein verschlüsselungsähnliches Modul nach dem Vorbild von Crucio
Besonders perfide: Das Crucio-Modul tarnt sich als Erpressungssoftware. Es verschlüsselt Dateien und hängt die Endung „.candy“ an. Doch statt Lösegeld zu fordern, verwirft der Schädling die Entschlüsselungsschlüssel – eine Wiederherstellung der Daten wird unmöglich. Die drei unterschiedlichen Wiping-Logiken erlauben es den Angreifern, je nach Ziel entweder die Festplatte rasant zu zerstören, das System lahmzulegen oder eine trügerische Verschlüsselung vorzutäuschen.
Spionage und Fernsteuerung aus einer Hand
GigaWiper beschränkt sich nicht auf Zerstörung. Der Backdoor bietet umfangreiche Fernwartungs- und Spionagefunktionen. Insgesamt 20 verschiedene Befehle stehen den Angreifern zur Verfügung:
Die GigaWiper-Backdoor ist seit Oktober 2025 aktiv und kombiniert drei Zerstörungsmechanismen – inklusive getarnter Verschlüsselung mit der Endung „.candy“. Dieser Report zeigt, wie Sie die Malware erkennen und Ihre Systeme mit 5 konkreten Sofortmaßnahmen absichern. Jetzt kostenlosen Schutz-Report anfordern
- Fernzugriff auf den Desktop per VNC
- Aufnahme von Screenshots und Bildschirmaufzeichnungen
- Löschen von Systemereignisprotokollen zur Spurenbeseitigung
- Ausführen beliebiger Dateien und entfernter Befehle
Um dauerhaft auf Windows-Systemen zu überleben, tarnt sich die Malware als legitimer Dienst. Sie erstellt eine geplante Aufgabe namens „OneDrive Update“ – so bleibt sie auch nach Neustarts aktiv.
Infrastruktur und Urheberschaft
Die Analyse offenbart eine komplexe Kommando- und Kontrollinfrastruktur (C2). GigaWiper nutzt RabbitMQ auf Port 5544 für den Befehlsempfang und Redis auf Port 7542 für das Abfließen von Daten. Einige Varianten setzen Berichten zufolge auch MinIO zur Datenverwaltung ein. Konkrete C2-Server-Adressen, die mit der Kampagne in Verbindung stehen, sind 185.182.193.21 und 212.8.248.104.
Branchenanalysten führen die Entwicklung und den Einsatz von GigaWiper auf Akteure mit Verbindungen zum Iran zurück. Genannt werden insbesondere die Gruppen CyberAv3ngers und Binary Defense. Die Bündelung älterer Schadsoftware-Codes zu einem neuen, vielseitigeren Backdoor deutet auf eine Weiterentwicklung der Angriffsstrategien hin.
Angreifer nutzen GigaWiper, um über getarnte geplante Aufgaben („OneDrive Update“) dauerhaft auf Ihren Systemen zu bleiben. Erfahren Sie im Report, wie Sie solche Hintertüren identifizieren und blockieren – bevor Ihre Daten unwiederbringlich gelöscht werden. GigaWiper-Erkennungsleitfaden jetzt sichern
Schutzmaßnahmen für Unternehmen
Microsoft empfiehlt Organisationen, Tamper Protection zu aktivieren und die Kommunikation mit den identifizierten C2-Infrastrukturen zu blockieren. Zudem sollten Endgeräte-Sicherheitslösungen ungewöhnliche geplante Aufgaben überwachen – besonders solche, die sich als Cloud-Dienst-Updates tarnen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
