GigaWiper: Microsoft warnt vor modularer Datenvernichtungs-Malware
Veröffentlicht: 09.07.2026 um 20:47 Uhr, Redaktion boerse-global.de
Microsoft und mehrere Sicherheitsfirmen warnen vor einer gefährlichen neuen Schadsoftware, die Daten unwiderruflich löscht.
Am heutigen Donnerstag veröffentlichten Microsoft Threat Intelligence und zahlreiche Cybersicherheitsunternehmen detaillierte Analysen zu GigaWiper – einer neuartigen Hintertür, die als digitale Vernichtungsmaschine fungiert. Die Malware ist keine einzelne Schadcode-Datei, sondern eine modulare Plattform aus verschiedenen Komponenten. Sicherheitsexperten stufen sie als erhebliche Eskalation destruktiver Cyberfähigkeiten ein.
So funktioniert die digitale Vernichtungsmaschine
GigaWiper verwandelt gewöhnliche Cyberangriffe in permanente Datenvernichtung. Die Hintertür besteht aus einem Baukastensystem verschiedener Malware-Komponenten, die je nach Ziel flexibel kombiniert werden können. Forscher von UNDERCODE NEWS bezeichnen die Bedrohung als „destruktive Malware-Plattform", die digitale Löschung als Waffe einsetzt.
China-verbundene Gruppen weiten Angriffe aus
Parallel zu GigaWiper haben Sicherheitsanalysten mehrere aktive Kampagnen identifiziert, die mit China-verbundenen Akteuren in Verbindung stehen. Betroffen sind sowohl kritische Infrastrukturen als auch akademische Einrichtungen.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Kostenlosen Cyber-Security-Ratgeber jetzt herunterladen
Cisco Talos berichtete heute, dass die als UAT-7810 bekannte Gruppe LapDogs ihr Arsenal erweitert hat. Die neue Backdoor-Familie trägt die Namen LongLeash, DogLeash und JarLeash. Bereits zuvor infizierte die Gruppe über 1.000 Router in kleinen Büros und Home-Offices mit dem Werkzeug ShortLeash. Die aktuelle Kampagne zielt gezielt auf Ruckus-Router ab und nutzt bekannte Sicherheitslücken wie CVE-2020-22653, CVE-2020-22658 und CVE-2023-25717.
Proofpoint wiederum enthüllte gestern, dass der Akteur UNK_MassTraction seit Mai 2026 Roundcube-Mailserver an Universitäten in den USA und Kanada angreift. Die Angreifer nutzen Cross-Site-Scripting und Deserialisierungsschwachstellen (CVE-2024-42009 und CVE-2025-49113), um Zugangsdaten zu stehlen und Webshells wie SquareShell und VShell zu installieren.
Neue Ransomware-Varianten und clevere Einstiegsmethoden
Auch die Ransomware-Landschaft entwickelt sich rasant weiter. Symantec meldete heute, dass die Hyadina-Ransomware-as-a-Service-Gruppe eine neue Variante namens GodDamn einsetzt. Diese Erpressungssoftware verwendet einen signierten Kernel-Treiber namens PoisonX – ein klassischer „Bring Your Own Vulnerable Driver"-Angriff (BYOVD), um Sicherheitssoftware auszuschalten. Ziel sind US-Organisationen im Gesundheitswesen, der Fertigungsindustrie und dem Bildungssektor.
Kasperskys Global Research and Analysis Team (GReAT) warnte ebenfalls heute vor der Gruppe „The Gentlemen". Diese Erpresserbande hat ihr Operationsspektrum mit einer maßgeschneiderten Go-basierten Hintertür und einer C-basierten Ransomware-Variante erweitert. Die Gruppe, die seit Mitte 2025 aktiv ist, versuchte kürzlich, Sicherheitssoftware bei Zielen in der Fertigungs- und Logistikbranche zu deinstallieren – wurde jedoch gestoppt.
Rekord-Schäden durch Phishing und Malware: Warum immer mehr Unternehmen jetzt auf gezielte Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Anti-Phishing-Paket gratis anfordern
Huntress identifizierte zudem eine wiederholbare Angriffskette, die die Schwachstelle CVE-2025-5777 (auch als CitrixBleed 2 bekannt) ausnutzt. Der Exploit ermöglicht Angreifern Zugriff auf NetScaler-Systeme, was letztlich zur Installation der DragonForce-Ransomware führt. Mindestens sechs Organisationen sind bisher Opfer dieser spezifischen Angriffskette.
Kritische Sicherheitslücken: Einer geflickt, einer noch offen
Microsoft schloss heute eine kritische Zero-Day-Sicherheitslücke. Der Fehler mit der Kennung CVE-2026-50656 (Codename RoguePlanet) betraf Microsoft Defender und ermöglichte Angreifern SYSTEM-Rechte durch eine Race-Condition. Das Unternehmen veröffentlichte ein Update für die Malware Protection Engine (Version 1.1.26060.3008), das die von den Forschern von Nightmare Eclipse entdeckte Bedrohung entschärft.
Weniger erfreulich: Eine kritische Hintertür in der Tenda-Firmware (CVE-2026-11405) bleibt weiterhin ungepatcht. Das CERT Coordination Center (CERT/CC) warnt, dass dieser Fehler administrativen Zugriff auf Router und Switches ermöglicht. Betroffenen Nutzern wird empfohlen, die Fernverwaltung zu deaktivieren und lokale IP-Adressen zu ändern – ein offizieller Patch existiert nicht.
Neue Tarnmethoden: Schadcode in Bildern und falsche IT-Hilfe
Die Kreativität der Angreifer kennt keine Grenzen. Analysten von 360 berichteten gestern, dass die Gruppe APT-C-20 (auch als Fancy Bear bekannt) Schadcode in PNG-Bilddateien versteckt. Der Angriff startet mit einem makro-fähigen Dokument, das eine versteckte DLL und das manipulierte Bild ablegt. Die Folge: Eine dateilose C#-Hintertür wird aktiviert.
Auch die sozialen Manipulationstaktiken verändern sich. ExtraHop berichtete heute, dass die Bedrohungsgruppe UNC6692 den Microsoft-Teams-Helpdesk imitiert, um die SNOW-Malware-Suite zu verbreiten. Die Angreifer überschwemmen ihre Opfer zunächst mit Spam-er-Mails, kontaktieren sie dann über Teams als angeblicher IT-Support und überreden sie schließlich, schädliche Binärdateien herunterzuladen – inklusive Browser-Erweiterungen und HTTP-Hintertüren.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
