Mastodon Mastodon Mastodon Mastodon

GigaWiper-Backdoor verbindet Wiper, Pseudo-Ransomware und Spionage

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Microsoft hat eine detaillierte Analyse des destruktiven Backdoors GigaWiper veröffentlicht – einer Schadsoftware für Windows, geschrieben in Go, die drei zuvor unabhängige Werkzeuge zur Datenvernichtung zu einer einzigen modularen Plattform vereint. Der Backdoor nutzt keine konkrete Schwachstelle aus, sondern wird erst ausgerollt, nachdem der Angreifer bereits Zugriff auf das System erlangt hat. Der Operator wählt die Art der Zerstörung über durchnummerierte Befehle: vollständiges Löschen des Datenträgers, mehrfache Überschreibung der Systempartition oder Pseudo-Verschlüsselung von Dateien ohne Speicherung des Schlüssels. Da es keinen Patch gibt – es handelt sich nicht um eine Schwachstelle, sondern um ein Post-Exploitation-Werkzeug – bleiben frühzeitige Erkennung und saubere Offline-Backups der einzige wirksame Schutz.

Architektur der Vernichtung: drei Module – ein Ergebnis

GigaWiper stellt dem Operator drei austauschbare destruktive Module zur Verfügung, von denen jedes eine Wiederherstellung der Daten ohne Backups unmöglich macht:

  • Physical Disk Wiper – überschreibt den Inhalt des Datenträgers auf Raw-Ebene, zerstört die Partitionstabelle und initiiert einen Neustart. Das Dateisystem wird nicht dateiweise gelöscht – die gesamte Struktur des Datenträgers wird zerstört.
  • Pseudo-Ransomware auf Basis von Crucio – verschlüsselt Dateien, fügt die Erweiterung .candy hinzu und ändert das Desktop-Hintergrundbild in ein Warnbild. Nach Angaben von Microsoft wird der Verschlüsselungsschlüssel nicht gespeichert: Es gibt weder eine Lösegeldforderung noch eine Möglichkeit zur Entschlüsselung. Es handelt sich um Datenvernichtung, getarnt als Ransomware.
  • System Partition Wiper – mehrfache Überschreibung der Windows-Partition mit unterschiedlichen Datenmustern. Microsoft identifiziert ihn als in Go neu implementierte Version eines Werkzeugs, das unter dem Namen FlockWiper verfolgt wird.

Die Taktik, Datenvernichtung als Ransomware-Angriff zu tarnen, ist nicht neu – NotPetya nutzte 2017 denselben Ansatz. Die Tarnung verschafft dem Angreifer Zeit: Der Vorfall wirkt zunächst wie ein Verschlüsselungsfall mit Wiederherstellungschance und nicht wie eine irreversible Zerstörung.

Spionage und Remote-Steuerung

Die Zerstörung ist nur ein Teil der Funktionalität. Nach Angaben von Microsoft ermöglicht derselbe Backdoor umfassende Überwachung des kompromittierten Systems:

  • Screenshots aller Monitore und Bildschirmaufzeichnung in Echtzeit
  • Versteckte VNC-Session mit Steuerung von Maus und Tastatur
  • Sammlung von Systeminformationen, Verwaltung von Prozessen und Diensten
  • Bearbeitung der Registry und Löschung der Windows-Ereignisprotokolle

In den untersuchten Samples fand Microsoft inaktive Platzhalter für Befehle, darunter ein Keylogger-Modul und zusätzliche Wiper – ein Hinweis darauf, dass die Plattform weiterentwickelt wird.

Tarnung und Kommunikation

GigaWiper nutzt mehrstufige Tarnmechanismen. Zur Persistenz im System wird eine geplante Aufgabe OneDrive Update mit einem Ausführungsintervall von einer Minute angelegt. Die Konfiguration wird im Registry-Schlüssel HKCU\SOFTWARE\OneDrive\Environment gespeichert. Beim Aufbau eines Remote-Control-Kanals erstellt der Backdoor eine Firewall-Regel mit dem Namen einer legitimen Windows-Komponente – Microsoft.Windows.CloudExperienceHost.

Besonders bemerkenswert ist die Command-and-Control-Infrastruktur. Anstelle typischer HTTP-Anfragen an dedizierte Server verwendet GigaWiper legitime Business-Werkzeuge: RabbitMQ zum Empfang von Aufgaben, Redis zur Übermittlung von Ergebnissen und MinIO zur Datenexfiltration. In Organisationen, in denen diese Services bereits im Einsatz sind, wirkt ein solcher Traffic unauffällig.

Attribution und Bezug zu bekannten Kampagnen

Microsoft nennt in seinem Bericht kein konkretes Land. Das Unternehmen führt den Code der Pseudo-Ransomware jedoch auf das Werkzeug Crucio zurück und den Mehrfach-Wiper auf FlockWiper. Es wird eingeschätzt, dass alle drei Komponenten von einem einzigen Entwickler stammen. In beiden Werkzeugen findet sich der wiederkehrende Tag „GRAT“ – in Debug-Pfaden von FlockWiper und in Funktionsnamen von GigaWiper.

Crucio wird in einem CISA-Advisory vom Dezember 2023 erwähnt, das sich mit der Gruppe CyberAv3ngers befasst, die die Behörde mit den Islamic Revolutionary Guard Corps Irans (IRGC) in Verbindung bringt. Diese Gruppe griff 2023 Wasser- und Energieanlagen in den USA, Israel, Großbritannien und Irland an, indem sie über das Internet auf industrielle Steuerungen zugriff. Das von Microsoft referenzierte Crucio-Sample trägt denselben Identifikator, der auch im CISA-Advisory genannt wird.

Das Unternehmen Binary Defense beschrieb dieselbe Schadsoftware unter dem Namen BLUERABBIT. Dem Ausgangsmaterial zufolge enthalten beide Berichte dieselben vier Datei-Hashes und identische Command-Server-Adressen. Binary Defense ordnet die Malware in Anlehnung an die Google Threat Intelligence Group mutmaßlich einer Gruppe mit iranischem Hintergrund zu, die auf israelische Organisationen zielt. Wichtig ist: Eine direkte Attribution von GigaWiper zu einem konkreten staatlichen Akteur wird von Microsoft nicht bestätigt; der Zusammenhang über die Codebasis von Crucio ist ein Indiz, aber keine operative Attribution.

Auch die Abweichungen im Zeitverlauf zwischen den Quellen sind bemerkenswert: Microsoft datiert die destruktive Aktivität auf Oktober 2025, während Binary Defense dieselben Dateien erstmals im März 2026 beobachtet hat. Diese Angaben müssen sich nicht widersprechen, könnten aber auf unterschiedliche Phasen derselben Kampagne hinweisen.

Der Kontext reicht über ein einzelnes Werkzeug hinaus. Unit 42 von Palo Alto Networks registriert einen Anstieg der Aktivität iranisch geprägter Wiper gegen israelische Ziele in den Jahren 2025–2026, unter anderem durch die separate Gruppe Handala Hack.

Indikatoren einer Kompromittierung

Bekannte Command-Server-Adressen:

  • 185.182.193[.]21
  • 212.8.248[.]104

Die vollständige Liste der Datei-Hashes und Erkennungsnamen ist im Bericht von Microsoft verfügbar.

Empfehlungen für Erkennung und Schutz

Zentrale Signale für die Erkennung:

  • Geplante Aufgabe OneDrive Update mit einem Ausführungsintervall von einer Minute
  • RabbitMQ- oder Redis-Traffic von Workstations statt von Servern
  • Einsatz der Befehle takeown und icacls zum Übernehmen von Berechtigungen auf Boot-Dateien (bootmgr, ntoskrnl.exe) außerhalb geplanter Wartungsfenster

Schutzmaßnahmen nach Empfehlung von Microsoft:

  • Schutz vor unbefugter Deaktivierung des Antivirus (tamper protection) aktivieren
  • Die genannten Command-Server-Adressen auf Netzwerk-Perimeter-Ebene blockieren
  • Endpoint Detection and Response in den Blockierungsmodus versetzen
  • Cloud-Schutz und automatische Remediation aktivieren
  • Sicherstellen, dass Offline-Backups vorhanden und regelmäßig getestet werden – für alle drei destruktiven Module ist dies der einzige Weg zur Wiederherstellung

GigaWiper steht für einen grundlegenden Wandel in der Architektur destruktiver Werkzeuge: Ein einzelner Implant mit modularen Funktionen – von Spionage bis zur irreversiblen Vernichtung – nimmt Verteidigern die Möglichkeit, aus der Art der entdeckten Malware auf die Absicht des Angreifers zu schließen. Die Entscheidung zur Zerstörung trifft der Operator erst nach der Kompromittierung. Vorrangige Maßnahmen sind: die Infrastruktur auf die genannten Indikatoren zu prüfen, die Funktionsfähigkeit von Offline-Backups sicherzustellen und das Monitoring für ungewöhnlichen RabbitMQ- und Redis-Traffic von Workstations zu konfigurieren.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.