GigaWiper: Microsoft warnt vor iranischer Hintertür mit Doppelfunktion
Veröffentlicht: 11.07.2026 um 13:37 Uhr, Redaktion boerse-global.de
Ein aktueller Bericht zur Bedrohungslage zeichnet das Bild einer hochgradig dezentralisierten und zunehmend professionellen Hacktivistenszene mit Verbindungen zum Iran. Die Netzwerke greifen internationale Organisationen und Infrastrukturen mit DDoS-Attacken, Webseiten-Verunstaltungen und Datenlecks an.
Koordinierte Angriffe und ihre Methoden
Zu den prominentesten Gruppen zählen Handala, 313 Team, Cyber Fattah und das Fatimiyoun (FAD) Team. Auch Dark Storm, CJM, Keymous+, DieNet, NoName057(16), Killnet und MONARCH sind aktiv. Sie nutzen Plattformen wie Telegram, GitHub und Check-host.net zur Koordination und setzen vermehrt die DDoS-Plattform Beamed ein.
Bereits im Mai 2026 attackierten die Gruppen die Infrastruktur von Canonical und Ubuntu. Die Gruppe Handala behauptet zudem, das Abrechnungssystem der California Water Service geknackt zu haben – ein Versorger, der über zwei Millionen Menschen mit Wasser beliefert. Zwar meldete das Unternehmen keine Betriebsunterbrechungen, doch veröffentlichte Handala Screenshots mit Kundenadressen aus Chico, Kalifornien, als Beleg.
Im März 2026 verunstalteten die Hacktivisten die Seite von Yeshiva World News und platzierten dort Bilder iranischer Führungspersönlichkeiten sowie persische Botschaften. Analysten beobachten, dass diese Aktionen oft mit regionalen Spannungen korrelieren – die Gruppen verstehen ihre Angriffe als Vergeltung für militärische oder politische Entwicklungen.
GigaWiper: Die „Vierköpfige Bestie" aus dem Iran
Am 9. Juli 2026 veröffentlichte Microsoft Details zu GigaWiper (auch BLUERABBIT genannt) – einer modularen Windows-Hintertür, die gezielt israelische Organisationen angreift. Die Malware vereint die Funktionen eines Festplattenlöschers, einer Spionagesoftware und einer vorgetäuschten Ransomware.
Die Zero-Day-Lücke in Windows Defender (CVE-2026-50656) ist ungepatcht – GigaWiper nutzt sie, um Festplatten zu löschen und Daten zu stehlen. Bevor Ihre Konkurrenz die Lücke ausnutzt, sichern Sie sich die Sofortmaßnahmen-Checkliste und den Erkennungsleitfaden. Jetzt kostenlosen Sicherheitsleitfaden anfordern
GigaWiper nutzt mehrere Befehle zur Zerstörung: einen Mehrfachdurchgang-Löscher und einen BSOD-Trigger (Bluescreen). Die Fake-Ransomware verwendet die Endung „.candy" und basiert auf dem Crucio-Ransomcode – eine echte Entschlüsselung ist unmöglich. Das erinnert an die NotPetya-Attacken, die ebenfalls als Erpressungssoftware getarnt waren. Zur Überwachung installiert die Malware einen Keylogger, VNC-Funktionen und Screenshot-Tools.
Die Hintertür sichert sich über eine geplante Aufgabe namens OneDrive Update und kommuniziert mit den Steuerungsservern über RabbitMQ, Redis und MinIO. Erste Spuren entdeckte Microsoft bereits im Oktober 2025, andere Sicherheitsfirmen im März 2026. GigaWiper wird auch mit der Sicherheitslücke „Ill Bloom" in Verbindung gebracht, die Ende Mai 2026 zum Diebstahl von 3,1 Millionen Euro aus 431 Kryptowährungs-Wallets führte. Der Angriff nutzte eine Zero-Day-Lücke in Windows Defender (CVE-2026-50656).
Wirtschaftssanktionen und die Blockade der Straße von Hormus
Die Cyberaktivitäten fallen zeitlich mit der „Operation Economic Fury" zusammen – einer Kampagne des US-Finanzministeriums gegen iranische Finanznetzwerke. Am 2. Juni 2026 sanktionierte das Office of Foreign Assets Control (OFAC) vier iranische Kryptobörsen: Nobitex, Wallex, Bitpin und Ramzinex. Ihnen werden Verbindungen zu den Revolutionsgarden (IRGC) und Ransomware-Operationen vorgeworfen. Allein Nobitex soll 2025 mehr als die Hälfte aller iranischen Krypto-Zuflüsse abgewickelt haben.
GigaWiper kombiniert Festplattenlöscher, Spionagesoftware und Fake-Ransomware – eine „Vierköpfige Bestie", die gezielt israelische Organisationen angreift. Doch auch Ihre kritische Infrastruktur ist gefährdet. Dieser Leitfaden zeigt, wie Sie die Hintertür erkennen und Ihre Systeme härten. GigaWiper-Erkennungsleitfaden jetzt sichern
Am 10. Juli 2026 folgten Sanktionen gegen Ali Ansari sowie mehrere Wechselstuben. Ansari wird vorgeworfen, öffentliche Gelder in Immobilien in Europa und dem Nahen Osten umgeleitet zu haben, um die Führungselite und militärische Interessen zu finanzieren.
Diese Maßnahmen stehen im Kontext einer Eskalation in der Straße von Hormus. Seit Mitte März 2026 betreibt die IRGC dort ein Mautsystem und verlangt von Schiffen bis zu zwei Millionen Euro in Bitcoin, USDT oder Yuan für die Durchfahrt. Das System spült schätzungsweise 20 Millionen Euro täglich in die Kassen und betrifft rund 6.000 Seeleute. Am 11. Juli 2026 – dem gleichen Tag, an dem ein US-Ultimatum zur Öffnung der Meerenge auslief – warnte Mohammad Baqer Zolqadr, Sekretär des Obersten Nationalen Sicherheitsrates: Jeder weitere Angriff auf iranische Infrastruktur werde Vergeltung nach sich ziehen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
