Microsoft heeft een nieuwe en bijzonder gevaarlijke malwarefamilie geanalyseerd die niet alleen gegevens kan stelen en computers op afstand kan overnemen, maar uiteindelijk ook complete systemen permanent onbruikbaar kan maken. De malware, die door Microsoft GigaWiper wordt genoemd en door sommige andere beveiligingsonderzoekers ook onder de naam BlueRabbit wordt gevolgd, behoort tot de meest geavanceerde vormen van destructieve malware die de afgelopen jaren zijn onderzocht.
Waar veel malware gericht is op financieel gewin, zoals ransomware die bestanden versleutelt om losgeld te eisen, heeft GigaWiper een veel bredere en gevaarlijkere functionaliteit. De malware combineert uitgebreide spionagemogelijkheden, volledige systeemcontrole en meerdere methoden om gegevens definitief te vernietigen. Daardoor vormt zij vooral een ernstige bedreiging voor bedrijven, overheidsinstellingen en andere organisaties waarvan de IT-infrastructuur doelbewust wordt aangevallen.
Ontdekt tijdens gerichte aanvallen
Microsoft Threat Intelligence ontdekte de malware voor het eerst tijdens gerichte aanvallen in oktober 2025. Uit het daaropvolgende technische onderzoek bleek dat de aanvallers niet simpelweg computers proberen te besmetten, maar eerst langdurig toegang verkrijgen tot een netwerk. Pas wanneer zij voldoende informatie hebben verzameld of hun doel hebben bereikt, wordt de vernietigende functie van de malware geactiveerd.
Dit wijst erop dat GigaWiper geen malware is die willekeurig via internet wordt verspreid, maar onderdeel vormt van zorgvuldig voorbereide cyberaanvallen waarbij de aanvallers hun slachtoffers vooraf selecteren.
Veel meer dan een gewone wiper
Traditionele wiper-malware heeft doorgaans slechts één doel: gegevens wissen zodat een systeem niet meer bruikbaar is. GigaWiper gaat echter veel verder.
De malware bestaat uit meerdere afzonderlijke modules die afhankelijk van de opdracht van de aanvallers kunnen worden ingezet. Hierdoor kan dezelfde malware eerst weken of zelfs maanden ongemerkt actief blijven voordat uiteindelijk de vernietigende fase begint.
Tijdens die periode kunnen aanvallers onder andere:
- volledige controle over het systeem verkrijgen;
- vertrouwelijke gegevens verzamelen;
- gebruikersactiviteiten observeren;
- bestanden manipuleren;
- aanvullende malware installeren;
- systemen voorbereiden op sabotage.
Pas wanneer de aanvallers dat wensen, worden de destructieve functies geactiveerd.
Definitieve vernietiging van harde schijven
De meest gevaarlijke eigenschap van GigaWiper is het direct manipuleren van fysieke opslagmedia.
In plaats van simpelweg bestanden te verwijderen, krijgt de malware rechtstreeks toegang tot de harde schijf of SSD. Vervolgens worden essentiële onderdelen van de opslag overschreven.
Daarbij kan de malware onder andere:
- partitietabellen verwijderen;
- schijfindelingen vernietigen;
- opslagstructuren beschadigen;
- grote delen van de schijf overschrijven met nieuwe gegevens.
Doordat deze essentiële informatie verloren gaat, kan Windows de opslag niet langer correct herkennen. Na een herstart lijkt het alsof de volledige inhoud van de schijf verdwenen is.
Zelfs gespecialiseerde herstelsoftware heeft in veel gevallen weinig tot geen kans om de oorspronkelijke gegevens nog terug te halen wanneer deze eenmaal meerdere malen zijn overschreven.
Vermomd als ransomware
Naast het wissen van gegevens bevat GigaWiper ook een functie die sterk lijkt op ransomware.
De malware versleutelt bestanden en voegt de extensie .candy toe. Op het eerste gezicht lijkt dit op een klassieke gijzelsoftware-aanval waarbij slachtoffers losgeld moeten betalen om hun bestanden terug te krijgen.
In werkelijkheid is dat niet het doel.
Voor iedere versleuteling worden willekeurige sleutels gegenereerd die nergens worden opgeslagen of doorgestuurd naar de aanvallers. Hierdoor bestaat er feitelijk geen mogelijkheid om de bestanden ooit nog te ontsleutelen.
De versleuteling dient dus uitsluitend om gegevens permanent ontoegankelijk te maken en niet om geld af te persen.
Meervoudig overschrijven van systeemschijven
Alsof dat nog niet voldoende is, bevat GigaWiper een extra vernietigingsmechanisme.
De malware overschrijft de Windows-systeemschijf meerdere keren met verschillende gegevenspatronen. Door herhaaldelijk nieuwe data over dezelfde locaties te schrijven, wordt het herstellen van oorspronkelijke gegevens nog veel moeilijker.
Deze techniek wordt vaker toegepast bij professionele datavernietiging en maakt forensisch herstel aanzienlijk ingewikkelder.
Permanente achterdeur voor aanvallers
Voordat de vernietiging plaatsvindt, fungeert GigaWiper als een uitgebreide backdoor.
Hiermee kunnen cybercriminelen langdurig toegang behouden tot geïnfecteerde systemen en vrijwel alle belangrijke onderdelen van Windows beheren.
De malware kan onder andere:
- schermafbeeldingen maken;
- volledige schermopnamen uitvoeren;
- de computer op afstand bedienen;
- systeeminformatie verzamelen;
- draaiende processen beheren;
- Windows-services starten of stoppen;
- registersleutels aanpassen;
- bestanden aanmaken, wijzigen of verwijderen;
- extra malware downloaden;
- beveiligingsinstellingen manipuleren;
- Windows-gebeurtenislogboeken wissen om sporen van de aanval uit te wissen.
Doordat deze mogelijkheden in één malwarepakket zijn gecombineerd, beschikken aanvallers over vrijwel volledige controle over een geïnfecteerde computer.
Vermomd als een legitieme OneDrive-taak
Om langdurig actief te blijven zonder op te vallen, maakt GigaWiper gebruik van de Windows Taakplanner.
Daarbij wordt automatisch een geplande taak aangemaakt met de naam OneDrive Update.
Voor veel systeembeheerders lijkt zo'n taak op het eerste gezicht volkomen normaal, omdat OneDrive regelmatig updates uitvoert. Hierdoor kan de malware langdurig actief blijven zonder direct argwaan te wekken.
Bij iedere geplande uitvoering controleert de malware of nieuwe opdrachten beschikbaar zijn vanaf de command-and-controlservers.
Slimme communicatie met de aanvallers
Voor de communicatie met de infrastructuur van de aanvallers maakt GigaWiper gebruik van technologieën zoals RabbitMQ en Redis.
Deze software wordt binnen veel professionele IT-omgevingen legitiem gebruikt voor berichtenverwerking en gegevensuitwisseling tussen servers.
Doordat de malware gebruikmaakt van protocollen die ook in normale bedrijfsnetwerken voorkomen, kan het netwerkverkeer minder snel als verdacht worden herkend.
Dat vergroot de kans dat de malware langere tijd ongemerkt actief blijft.
Samengesteld uit meerdere bestaande malwarefamilies
Uit de analyse blijkt dat GigaWiper niet volledig nieuw is opgebouwd.
De ontwikkelaars hebben onderdelen uit verschillende eerdere malwarefamilies gecombineerd tot één geïntegreerd platform.
Onder meer zijn functies aangetroffen die overeenkomen met:
- ransomwarefunctionaliteit uit eerdere malwarevarianten;
- technieken afkomstig uit oudere wiper-malware;
- een nieuw ontwikkelde backdoor geschreven in de programmeertaal Go.
Door bestaande technieken te combineren met nieuwe functionaliteit ontstaat een flexibel aanvalsinstrument dat afhankelijk van de situatie kan worden ingezet voor spionage, sabotage of volledige vernietiging van systemen.
Wie loopt werkelijk risico?
Op basis van de huidige informatie lijkt GigaWiper vooral te worden ingezet bij gerichte aanvallen op organisaties.
De slachtoffers zijn voornamelijk:
- bedrijven;
- overheidsinstanties;
- kritieke infrastructuur;
- grotere ondernemingen;
- organisaties met waardevolle gegevens.
Er zijn op dit moment geen aanwijzingen dat de malware op grote schaal willekeurige particuliere Windows-gebruikers besmet.
Dat betekent echter niet dat thuisgebruikers volledig veilig zijn. Wanneer een computer wordt geïnfecteerd via gestolen inloggegevens, een kwetsbaarheid, kwaadaardige software of een misleidende bijlage, kunnen ook particuliere systemen ernstige schade oplopen.
Hoe kunnen gebruikers zich beschermen?
Hoewel geen enkele beveiliging absolute garantie biedt, verkleinen goede beveiligingsmaatregelen de kans op een succesvolle aanval aanzienlijk.
Belangrijke aanbevelingen zijn onder meer:
- installeer Windows-updates direct zodra deze beschikbaar zijn;
- houd antivirus- en beveiligingssoftware voortdurend actueel;
- schakel beveiligingsfuncties zoals tamper protection in wanneer deze beschikbaar zijn;
- open geen onbekende bijlagen of verdachte links;
- download software uitsluitend van betrouwbare bronnen;
- gebruik sterke, unieke wachtwoorden in combinatie met multifactorauthenticatie;
- controleer regelmatig of onbekende taken in de Windows Taakplanner zijn toegevoegd;
- let op ongebruikelijke netwerkverbindingen of onverwachte systeemactiviteiten;
- beperk beheerdersrechten waar mogelijk.
Back-ups blijven de belangrijkste verdedigingslinie
Bij malware die gegevens definitief vernietigt, zijn goede back-ups vaak de enige mogelijkheid om verloren bestanden terug te krijgen.
Daarom is het verstandig om:
- regelmatig automatische back-ups te maken;
- deze op een extern opslagmedium of in een betrouwbare cloudomgeving te bewaren;
- minstens één back-up volledig losgekoppeld van de computer op te slaan, zodat malware deze niet eveneens kan wissen;
- periodiek te controleren of de gemaakte back-ups daadwerkelijk kunnen worden teruggezet.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack