GigaWiper, Windows-Malware

GigaWiper: Neue Windows-Malware kombiniert Löschung und Spionage

Veröffentlicht: 10.07.2026 um 10:15 Uhr, Redaktion boerse-global.de

Microsoft warnt vor GigaWiper, einer gefÀhrlichen Windows-Backdoor, die Daten unwiederbringlich löscht, Systeme sabotiert und Spionagefunktionen vereint.

GigaWiper: Neue Schadsoftware löscht Daten und spioniert aus
Digitaler SchĂ€del aus Code und Schaltkreisen auf dunklem Bildschirm, symbolisiert destruktive Windows-HintertĂŒr. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Eine neue Schadsoftware namens GigaWiper kombiniert Datenlöschung mit Spionage und Fake-Erpressung.

Sicherheitsforscher von Microsoft Threat Intelligence haben eine detaillierte Analyse eines gefĂ€hrlichen neuen Windows-Backdoors veröffentlicht. Das in der Programmiersprache Golang geschriebene Tool namens GigaWiper vereint Komponenten aus mehreren bekannten Schadsoftware-Familien. Es bietet Angreifern ein ganzes Arsenal an Optionen, um infizierte Systeme zu sabotieren – von der Zerstörung von Festplatten bis zur verdeckten Überwachung.

Baukasten aus bekannter Malware

GigaWiper setzt sich aus dem Code Ă€lterer Werkzeuge zusammen. Besonders hervorzuheben sind die Crucio-Erpressungssoftware und das FlockWiper-Löschprogramm. Die HintertĂŒr erlaubt es den Angreifern, zwischen verschiedenen zerstörerischen Aktionen zu wĂ€hlen. Sie können etwa Rohdaten auf der Festplatte ĂŒberschreiben oder den Systemstart sabotieren.

Ein besonders perfides Merkmal ist die Fake-Ransomware-Komponente. GigaWiper verschlĂŒsselt Dateien und hĂ€ngt die Endung .candy an. Die Software speichert die EntschlĂŒsselungsschlĂŒssel jedoch bewusst nicht. Die betroffenen Daten bleiben damit dauerhaft unrettbar – unabhĂ€ngig von etwaigen Lösegeldzahlungen.

Anzeige

Wenn Schadsoftware wie GigaWiper das System lahmlegt oder die Festplatte unbrauchbar macht, ist ein externer Rettungsanker entscheidend. Erfahren Sie in diesem kostenlosen Report, wie Sie einen Windows-11-USB-Stick erstellen, um Ihren PC im Notfall sicher zu starten. Notfall-Stick fĂŒr Windows 11 jetzt gratis erstellen

Neben der Zerstörung fungiert GigaWiper als umfassendes Spionagewerkzeug. Es kann Bildschirmfotos erstellen, BildschirmaktivitĂ€ten aufzeichnen und ĂŒber Virtual Network Computing (VNC) Fernzugriff gewĂ€hren.

Tarnung als Microsoft-Dienst

Um auf kompromittierten Windows-PCs unentdeckt zu bleiben, tarnt sich GigaWiper als legitimer Microsoft-Dienst. Die Malware erstellt eine geplante Aufgabe mit dem Namen „OneDrive Update", die jede Minute ausgefĂŒhrt wird. ZusĂ€tzlich sichert sie sich durch Änderungen an bestimmten Registry-EintrĂ€gen, insbesondere im Umgebungspfad fĂŒr OneDrive.

Zur Identifizierung von Festplatten fĂŒr die Zerstörung nutzt die HintertĂŒr die Windows Management Instrumentation (WMI). Bei der AusfĂŒhrung ĂŒberschreibt sie die Rohdaten auf der Festplatte. Dabei ersetzt sie typischerweise das erste Byte von Datenblöcken mit zufĂ€lligen Werten. Das Betriebssystem kann danach weder funktionieren noch wiederhergestellt werden.

Anzeige

Da GigaWiper gezielt Windows-Schwachstellen fĂŒr seine Tarnung ausnutzt, sollten Nutzer ihr System auf dem aktuellsten Stand halten. Dieser Gratis-Ratgeber zeigt Ihnen den sichersten Weg fĂŒr den Umstieg auf Windows 11, damit Ihre Daten und Programme beim Wechsel geschĂŒtzt bleiben. Schritt-fĂŒr-Schritt-Plan fĂŒr den Windows-Wechsel kostenlos sichern

Infrastruktur und mögliche Urheber

Die Kommando- und Kontrollinfrastruktur von GigaWiper setzt auf mehrere legitime Datenverwaltungstools, darunter RabbitMQ, Redis und MinIO. Microsoft identifizierte zwei zentrale IP-Adressen: 185.182.193.21 und 212.8.248.104.

Branchenanalysten stellten fest, dass die SHA-256-Hashwerte von GigaWiper mit denen einer Bedrohung namens BLUERABBIT ĂŒbereinstimmen. Diese hatten Forscher bereits im MĂ€rz dieses Jahres dokumentiert. Die Verwendung von Crucio-Code deutet zudem auf eine Verbindung zu einer Iran-nahen Bedrohungsgruppe hin. Diese Gruppe war bereits Ende 2023 Gegenstand einer behördlichen Cybersicherheitswarnung.

Die ersten Anzeichen von GigaWiper-AktivitĂ€ten reichen bis in den Oktober 2025 zurĂŒck. Einige Kernkomponenten wie FlockWiper wurden bereits im Juni 2025 auf Malware-Scan-Plattformen gesichtet. Sicherheitsexperten empfehlen Unternehmen, Manipulationsschutz zu aktivieren und die identifizierten IP-Adressen zu blockieren.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69736132 |