GigaWiper: Neue Windows-Malware kombiniert Löschung und Spionage
Veröffentlicht: 10.07.2026 um 10:15 Uhr, Redaktion boerse-global.de
Eine neue Schadsoftware namens GigaWiper kombiniert Datenlöschung mit Spionage und Fake-Erpressung.
Sicherheitsforscher von Microsoft Threat Intelligence haben eine detaillierte Analyse eines gefährlichen neuen Windows-Backdoors veröffentlicht. Das in der Programmiersprache Golang geschriebene Tool namens GigaWiper vereint Komponenten aus mehreren bekannten Schadsoftware-Familien. Es bietet Angreifern ein ganzes Arsenal an Optionen, um infizierte Systeme zu sabotieren – von der Zerstörung von Festplatten bis zur verdeckten Überwachung.
Baukasten aus bekannter Malware
GigaWiper setzt sich aus dem Code älterer Werkzeuge zusammen. Besonders hervorzuheben sind die Crucio-Erpressungssoftware und das FlockWiper-Löschprogramm. Die Hintertür erlaubt es den Angreifern, zwischen verschiedenen zerstörerischen Aktionen zu wählen. Sie können etwa Rohdaten auf der Festplatte überschreiben oder den Systemstart sabotieren.
Ein besonders perfides Merkmal ist die Fake-Ransomware-Komponente. GigaWiper verschlüsselt Dateien und hängt die Endung .candy an. Die Software speichert die Entschlüsselungsschlüssel jedoch bewusst nicht. Die betroffenen Daten bleiben damit dauerhaft unrettbar – unabhängig von etwaigen Lösegeldzahlungen.
Wenn Schadsoftware wie GigaWiper das System lahmlegt oder die Festplatte unbrauchbar macht, ist ein externer Rettungsanker entscheidend. Erfahren Sie in diesem kostenlosen Report, wie Sie einen Windows-11-USB-Stick erstellen, um Ihren PC im Notfall sicher zu starten. Notfall-Stick für Windows 11 jetzt gratis erstellen
Neben der Zerstörung fungiert GigaWiper als umfassendes Spionagewerkzeug. Es kann Bildschirmfotos erstellen, Bildschirmaktivitäten aufzeichnen und über Virtual Network Computing (VNC) Fernzugriff gewähren.
Tarnung als Microsoft-Dienst
Um auf kompromittierten Windows-PCs unentdeckt zu bleiben, tarnt sich GigaWiper als legitimer Microsoft-Dienst. Die Malware erstellt eine geplante Aufgabe mit dem Namen „OneDrive Update", die jede Minute ausgeführt wird. Zusätzlich sichert sie sich durch Änderungen an bestimmten Registry-Einträgen, insbesondere im Umgebungspfad für OneDrive.
Zur Identifizierung von Festplatten für die Zerstörung nutzt die Hintertür die Windows Management Instrumentation (WMI). Bei der Ausführung überschreibt sie die Rohdaten auf der Festplatte. Dabei ersetzt sie typischerweise das erste Byte von Datenblöcken mit zufälligen Werten. Das Betriebssystem kann danach weder funktionieren noch wiederhergestellt werden.
Da GigaWiper gezielt Windows-Schwachstellen für seine Tarnung ausnutzt, sollten Nutzer ihr System auf dem aktuellsten Stand halten. Dieser Gratis-Ratgeber zeigt Ihnen den sichersten Weg für den Umstieg auf Windows 11, damit Ihre Daten und Programme beim Wechsel geschützt bleiben. Schritt-für-Schritt-Plan für den Windows-Wechsel kostenlos sichern
Infrastruktur und mögliche Urheber
Die Kommando- und Kontrollinfrastruktur von GigaWiper setzt auf mehrere legitime Datenverwaltungstools, darunter RabbitMQ, Redis und MinIO. Microsoft identifizierte zwei zentrale IP-Adressen: 185.182.193.21 und 212.8.248.104.
Branchenanalysten stellten fest, dass die SHA-256-Hashwerte von GigaWiper mit denen einer Bedrohung namens BLUERABBIT übereinstimmen. Diese hatten Forscher bereits im März dieses Jahres dokumentiert. Die Verwendung von Crucio-Code deutet zudem auf eine Verbindung zu einer Iran-nahen Bedrohungsgruppe hin. Diese Gruppe war bereits Ende 2023 Gegenstand einer behördlichen Cybersicherheitswarnung.
Die ersten Anzeichen von GigaWiper-Aktivitäten reichen bis in den Oktober 2025 zurück. Einige Kernkomponenten wie FlockWiper wurden bereits im Juni 2025 auf Malware-Scan-Plattformen gesichtet. Sicherheitsexperten empfehlen Unternehmen, Manipulationsschutz zu aktivieren und die identifizierten IP-Adressen zu blockieren.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
