GigaWiper sieht bis zu dem Second wie Ransomware aus, in dem es das aber nicht mehr ist. Microsoft hat am 9. Juli 2026 eine Code-Stage-Analyse der Home windows-Hintertür veröffentlicht, und der gefälschte Verschlüsselungsbildschirm der Malware ist nur eine von mehreren Möglichkeiten, wie ein Betreiber eine Maschine zerstören kann, die bereits unter Kontrolle ist. Zuerst kann es zu Screenshots, Fernzugriff und Dateidiebstahl kommen. Der Löschvorgang erfolgt immer dann, wenn der Bediener beschließt, ihn auszulösen.
Microsoft hat eine Hintertür mit drei destruktiven Modi gefunden
Microsoft Menace Intelligence gibt an, im Oktober 2025 mit der Beobachtung kompromittierter Umgebungen begonnen zu haben, die mit destruktiven Instruments gelöscht werden. Die Ermittler fanden zwei Beispieltypen: eigenständige Wiper-Binärdateien und größere Binärdateien mit vollständiger Backdoor-Funktionalität, jeweils eine nicht entfernte ausführbare Home windows-Datei, die in Go geschrieben wurde.
Die Hintertür legt 20 numerische Befehlscodes offen, von denen einige in den von Microsoft untersuchten Beispielen unvollständig oder inaktiv erscheinen. Drei der Befehle zerstören eine Maschine, jeder auf unterschiedliche Weise.
Der erste ist ein Uncooked-Disk-Wischer. Es zählt physische Festplatten über die Home windows-Verwaltungsinstrumentation auf, identifiziert das Laufwerk, auf dem sich die Home windows-Set up befindet, entfernt Partitionsverweise von den anderen, überschreibt den Rohdatenträgerinhalt und erzwingt einen sofortigen Neustart. Eine Wiederherstellung von den betroffenen Festplatten würde im Allgemeinen saubere Backups erfordern und kann nach einem vollständigen Überschreiben und der Zerstörung der Partitionstabelle unpraktisch sein.
Die zweite führt gefälschte Ransomware aus, die auf dem Code einer älteren Sorte namens Crucio basiert. Befehl 3 generiert einen zufälligen Verschlüsselungsschlüssel und Initialisierungsvektor, verschlüsselt Dateien mit AES-CBC, löscht die Originale, benennt den Relaxation mit der Erweiterung .sweet um und ändert das Desktop-Hintergrundbild. Der Schlüssel wird nie gespeichert. Es folgt kein Lösegeldschein und keine Zahlung stellt etwas wieder her. Ein separater Befehl, Nummer 5, kann Dateien mithilfe bereitgestellter oder gespeicherter Schlüssel verschlüsseln oder entschlüsseln. Sowohl Autoren als auch Leser sollten es von der Einwegverschlüsselung von Befehl 3 unterscheiden, da beide gegensätzlichen Zwecken dienen.
Der dritte Befehl implementiert FlockWiper, einen ursprünglich in C geschriebenen Wischer, in Golang neu. Es zielt direkt auf das Home windows-Laufwerk ab und führt wiederholte Überschreibvorgänge mit mehreren Datenmustern durch. Ein vierter Befehl deaktiviert die Home windows-Wiederherstellung, ändert den Besitz und die Berechtigungen für Boot- und Kerneldateien, löscht sie und erzwingt einen Bluescreen-Zustand. Das Gerät kann danach nicht mehr regular booten.
Das Implantat kann zuschauen, bevor es abwischt
Zerstörung macht nur einen Teil dessen aus, was GigaWiper tut. Dieselbe Hintertür erfasst Screenshots von jedem aktiven Monitor, zeichnet den Bildschirm auf, während ein Benutzer arbeitet, und öffnet eine versteckte Sitzung im VNC-Stil, die die Anzeige streamt und dem Bediener Maus- und Tastatursteuerung überlässt.
Es sammelt außerdem System- und Netzwerkdetails, verwaltet laufende Prozesse und Dienste, bearbeitet die Registrierung, lädt Dateien über MinIO-Shopper-Instruments hoch und löscht Home windows-Ereignisprotokolle, um die forensische Rekonstruktion zu verlangsamen. Die Hacker Information berichteten über weitere ruhende Stubs in der Analyse von Microsoft, darunter einen Keylogger und weitere inaktive Wiper-Funktionen in den untersuchten Beispielen.
Ein Sicherheitsteam, das eine Screenshot-Routine oder eine Reside-Distant-Sitzung entdeckt, neigt dazu, Spionage zu deuten. Mit GigaWiper kann der Lesevorgang umgedreht werden, sobald ein Bediener einen Befehl mit einer anderen Nummer sendet. Nichts am frühen Verhalten der Malware deutet darauf hin, dass das Ende bevorsteht.
Die OneDrive-Persistenz verbirgt sich im Verborgenen
GigaWiper hält sich selbst am Laufen, indem es sich als Cloud-Speicher-Shopper von Microsoft ausgibt. Es schreibt einen Registrierungsschlüssel unter HKCUSOFTWAREOneDriveEnvironment und plant eine Aufgabe namens OneDrive Replace, die laut Microsoft beim Begin und etwa jede Minute danach ausgelöst wird. Wenn die Hintertür ihren Fernsteuerungskanal öffnet, versteckt sie sich laut The Hacker Information hinter einer Firewall-Regel, die nach einer echten Home windows-Komponente benannt ist, Microsoft.Home windows.CloudExperienceHost. Nichts davon bedeutet, dass OneDrive selbst kompromittiert wurde. Die Malware übernimmt bekannte Namen, um sich in die normale Home windows-Aktivität einzufügen, und ein Sicherheitsanalyst, der einen Blick auf eine Aufgabenliste wirft, hat wenig Grund, einen Prozess zu kennzeichnen, der scheinbar zu einem Dienst gehört, den Millionen von Mitarbeitern bereits ausführen.
RabbitMQ und Redis verwandeln Unternehmensinstallationen in C2
GigaWiper überspringt die lauten Webanfragen, auf die sich die meisten Schadprogramme verlassen, und nutzt stattdessen echte Enterprise-Messaging-Instruments. Microsoft hat zwei Kanäle bestätigt: RabbitMQ über AMQP zum Empfangen von Befehlen und Redis zum Zurücksenden von Standing und Ausgaben an den Operator. Eine analysierte Stichprobe nutzte einen einzelnen externen Server, 185.182.193(.)21, an zwei Ports für die beiden Dienste, wobei Broadcast-Befehle über einen RabbitMQ-Fanout-Austausch namens „All“ und gezielte Befehle über einen Themenaustausch namens „Subject“ weitergeleitet wurden.
Keines der missbrauchten Produkte weist eine Schwachstelle auf. RabbitMQ, Redis und MinIO sind legitime, weit verbreitete Technologien, und ihre Präsenz in einem Netzwerk sagt nichts über eine Kompromittierung an sich aus. Die Erkennungsfrage für ein Sicherheitsbetriebsteam wird kontextbezogen: Warum stellt ein Desktop-Endpunkt ausgehende AMQP-Verbindungen her, warum erreicht eine Workstation einen externen Redis-Server und warum benötigt ein unerwarteter Prozess überhaupt MinIO?
GigaWiper wird zusammengebaut und nicht von Grund auf neu erfunden
Die zentrale Erkenntnis von Microsoft ist architektonischer Natur. GigaWiper kombiniert einen eigenständigen Uncooked-Disk-Wiper, von Crucio abgeleitete gefälschte Ransomware und eine Golang-Neufassung von FlockWiper in einer bedienergesteuerten Plattform, anstatt es als Einzweck-Software auszuliefern. Microsoft hat außerdem ein wiederkehrendes internes Tag, „GRAT“, in den Debugpfaden von FlockWiper und den Funktionsnamen von GigaWiper, einen Hyperlink, den The Hacker Information als Beweis für eine gemeinsame Codebasis markierte, und möglicherweise eine weitere, noch nicht veröffentlichte Komponente gefunden.
Crucio selbst ist keine anonyme Sorte. Die Hacker Information führten ihren Code auf eine CISA-Meldung vom Dezember 2023 zu CyberAv3ngers zurück, einer mit dem Korps der Islamischen Revolutionsgarde des Iran verbundenen Gruppe, die in Web-exponierte Industriesteuerungen an Wasser- und Energiestandorten in den USA, Israel, Großbritannien und Irland einbrach. Das Crucio-Beispiel, das Microsoft im GigaWiper-Bericht zitiert, weist denselben Fingerabdruck auf, der in der Empfehlung aufgeführt ist, obwohl der Bericht von Microsoft keinen Anspruch auf Länderebene erhebt.
Das Muster deutet eher auf Industrialisierung als auf Erfindungen hin. Drei separate Zerstörungsfähigkeiten erfordern Zeit und Exams, um von Grund auf aufgebaut zu werden. Der Zusammenbau einer einzelnen Hintertür mit einem Befehlsmenü aus drei vorhandenen Instruments erfordert viel weniger Zeit und bietet dem Bediener Optionen, die ein Einzweck-Wischer nie bietet.
BLUERABBIT und die Frage der Namensnennung
Microsoft bestätigt direkt: Google Menace Intelligence Group und Binary Protection verfolgen GigaWiper als BLUERABBIT und lösen damit, was frühere Berichte nur aus übereinstimmenden Hashes und Infrastruktur ableiten konnten. Im Bericht von Binary Protection heißt es, man habe die Malware erstmals Mitte bis Ende März 2026 beobachtet, fünf Monate nach Beginn des Beobachtungsfensters von Microsoft im Oktober 2025, und vermutete, dass die Aktivitäten auf Unternehmen in Israel abzielten.
Binary Protection bringt BLUERABBIT unter Berufung auf die Google Menace Intelligence Group mit einem wahrscheinlichen Iran-Nexus-Aktivitätscluster in Verbindung, der zuvor mit zwei anderen Malware-Familien, BLUEWIPE und SEWERGOO, in Verbindung gebracht wurde. Der GigaWiper-Bericht von Microsoft enthält keine Zuordnung auf Länderebene. Die Verbindung zwischen GigaWiper und BLUERABBIT ist mittlerweile vom Hersteller bestätigt, aber die Zuordnungskette läuft immer noch über Binary Protection und Google Menace Intelligence Group und nicht über Microsoft. Öffentliche Quellen belegen weder eine direkte Kontrolle durch die iranische Regierung noch nennen sie eine bestimmte iranische Bedrohungsgruppe hinter der Aktivität.
Weder Microsoft noch Binary Protection haben die Anzahl der Opfer, die Namen der betroffenen Organisationen, den Erstzugriffsvektor oder den gesamten Umfang der Kampagne bekannt gegeben.
Die Malware passt in ein breiteres Muster. Die Unit 42 von Palo Alto Networks hat eine parallele Welle iranischer Wiper-Aktivitäten gegen Israel in den Jahren 2025 und 2026 verfolgt, von denen ein Großteil mit einer separaten Gruppe namens Handala Hack in Verbindung steht.
Verteidiger müssen die Hintertür vor dem Wipe stoppen
Microsoft empfiehlt eine umfassende Verteidigung. Aktivieren Sie den über die Cloud bereitgestellten Schutz, halten Sie die Endpunkterkennungssignaturen auf dem neuesten Stand und aktivieren Sie den Manipulationsschutz, damit ein Angreifer mit lokalem Zugriff die Antiviren-Instruments nicht deaktivieren kann. Beschränken Sie lokale Administratorrechte, fordern Sie eine phishing-resistente Multi-Faktor-Authentifizierung für privilegierte Konten und wechseln Sie die Anmeldeinformationen nach jeder vermuteten Kompromittierung.
Beobachten Sie geplante Aufgaben für einen Job namens OneDrive Replace, der außerhalb der normalen Softwarebereitstellung erstellt wird, insbesondere eine Aufgabe, die jede Minute ausgeführt wird oder versteckte PowerShell startet. Beobachten Sie das Netzwerk auf ausgehenden AMQP- oder Redis-Verkehr von normalen Desktops statt Servern und auf die Ausführung von MinIO-Purchasers auf Systemen, auf denen dieser normalerweise nicht ausgeführt wird. Überwachen Sie Endpunkte außerhalb eines Wartungsfensters auf unformatierten Festplattenzugriff, Änderungen an Partitionstabellen und die Verwendung von Takeown oder Icacls für Startdateien wie bootmgr oder ntoskrnl.exe.
Backups sind wichtiger als jede einzelne Erkennungsregel. Offline- oder unveränderliche Backups, separate Anmeldeinformationen für die Backup-Verwaltung und getestete Naked-Steel-Wiederherstellung bestimmen, ob eine gelöschte Maschine einen Nachmittag oder ein Viertel kostet. Ein Backup, das mit derselben kompromittierten Verwaltungsebene verbunden ist, übersteht einen zerstörerischen Vorgang möglicherweise überhaupt nicht.
Die Taktik ist alt und die Verpackung hat sich geändert
Die Idee, Zerstörung als Ransomware zu tarnen, ist nicht neu. NotPetya nutzte 2017 den gleichen Trick und gab sich als zahlungsgesteuerter Angriff aus, während er nonetheless und leise Daten auf Tausenden von Maschinen zerstörte. Was sich bei GigaWiper geändert hat, ist die Verpackung: Ein Wischer muss nicht mehr als endgültige, eigenständige Nutzlast geliefert werden. Es kann in einer multifunktionalen Hintertür untergebracht werden, die so konstruiert ist, dass sie zuerst ausspioniert und später zerstört, wann immer der Bediener dies wünscht.
Die Verschiebung ist wichtiger als jeder einzelne Befehl in der Liste von Microsoft. Früher schlossen Sicherheitsteams aus der Malware, die sie auf einem Pc fanden, auf Absichten. GigaWiper entfernt die Verknüpfung, und die Entfernung ist die wahre Geschichte, weit vor der Tarnung als Ransomware. Eine frühzeitige Eindämmung und wiederherstellbare Infrastruktur zählen heute mehr als nur zu erraten, was ein Angreifer will.
