GigaWiper, malware-ul care îi lasă pe hackeri să aleagă cum îți distrug calculatorul
Un nou malware pentru Windows combină spionajul, controlul de la distanță și ștergerea definitivă a datelor. GigaWiper le permite atacatorilor să decidă când și cum distrug un sistem compromis. Amenințarea a fost analizată în detaliu de Microsoft Threat Intelligence, după ce primele activități distructive au fost observate în octombrie 2025.
Cercetătorii descriu GigaWiper drept un „wiper într-un backdoor”. Programul malițios nu începe neapărat prin distrugerea calculatorului. Poate rămâne activ în sistem, poate colecta informații și poate aștepta comenzi. Atacatorii aleg apoi momentul în care declanșează una dintre metodele de sabotaj.
Atacul poate rămâne ascuns înainte de distrugere
Programele de tip wiper sunt create pentru a șterge datele victimelor. De obicei, acestea sunt lansate, execută operațiunea distructivă și dispar. GigaWiper funcționează diferit. Mai întâi oferă acces persistent la calculator.
Malware-ul poate executa comenzi, administra fișiere și controla procesele din Windows. Poate face capturi de ecran și poate colecta informații despre sistem. Include chiar și o funcție asemănătoare unui desktop la distanță. Hackerii pot controla tastatura și mouse-ul victimei.
Pentru a reveni după repornirea calculatorului, GigaWiper creează o sarcină programată numită „OneDrive Update”. Denumirea imită un serviciu legitim Microsoft. Sarcina poate rula în fiecare minut, dar și la pornirea sistemului.
Această metodă arată de ce un malware care funcționează fără semne evidente poate fi mai periculos decât un atac imediat. Infractorii au timp să analizeze rețeaua. Pot identifica serverele importante, copiile de siguranță și sistemele esențiale.
Trei metode diferite pot distruge datele
Microsoft a identificat trei componente distructive în interiorul GigaWiper. Prima atacă discurile fizice. Malware-ul elimină informațiile despre partiții și suprascrie conținutul brut al unităților de stocare.
A doua metodă imită un atac ransomware. Fișierele sunt criptate cu ajutorul unor chei generate aleatoriu. Cheile nu sunt însă salvate. Prin urmare, nici atacatorii nu pot recupera datele după criptare.
Această componentă este bazată pe cod asociat familiei Crucio. Fișierele afectate pot primi extensia „.candy”. Nu este afișată o solicitare reală de răscumpărare. Scopul nu este obținerea banilor, ci distrugerea informațiilor.
A treia funcție este inspirată de FlockWiper. Aceasta suprascrie în mai multe etape unitatea pe care este instalat Windows. Procesul reduce șansele ca specialiștii să mai poată recupera fișierele prin metode criminalistice. Consecințele pot fi mai grave decât în cazul unor atacuri precum WannaCry, unde unele victime au reușit să restaureze sistemele din backup.
GigaWiper folosește instrumente neobișnuite pentru comunicare
Malware-ul este scris în limbajul Go și conține aproximativ 20 de comenzi. Unele sunt folosite pentru recunoaștere. Altele permit descărcarea de instrumente suplimentare, ștergerea jurnalelor Windows sau controlarea calculatorului de la distanță.
GigaWiper nu se bazează doar pe conexiuni web obișnuite. Pentru primirea comenzilor folosește RabbitMQ, prin protocolul AMQP. Rezultatele comenzilor sunt trimise prin servere Redis. Aceste tehnologii sunt utilizate și în aplicații legitime pentru mesagerie și administrarea datelor.
Tocmai acest lucru poate ajuta malware-ul să se ascundă. Traficul poate părea asociat unor servicii normale dintr-o companie. Binary Defense urmărește aceeași amenințare sub numele BLUERABBIT și a observat inclusiv funcții pentru extragerea fișierelor prin infrastructură MinIO.
Cercetătorii Binary Defense au asociat atacurile analizate cu o posibilă grupare conectată la Iran. Microsoft nu a atribuit însă oficial GigaWiper unui stat sau unui grup anume.
Atacul trebuie oprit înainte să înceapă ștergerea
Momentul în care fișierele încep să dispară este deja foarte târziu pentru intervenție. Echipele de securitate trebuie să identifice accesul inițial, comenzile neobișnuite și tentativele de dezactivare a protecției antivirus.
Microsoft recomandă activarea protecției împotriva modificării setărilor Defender. Sunt importante și protecția furnizată prin cloud, monitorizarea EDR și blocarea fișierelor executabile necunoscute. Traficul RabbitMQ sau Redis către adrese externe neobișnuite trebuie verificat.
Atacatorii pot pătrunde inițial prin mesaje malițioase, parole furate sau sisteme neactualizate. De aceea, securitatea emailului în companii rămâne esențială. Un singur cont compromis poate deveni punctul de intrare într-o rețea întreagă.
Copiile de siguranță trebuie izolate de infrastructura principală. Un backup conectat permanent poate fi șters în același atac. GigaWiper arată că noile amenințări nu mai aleg între spionaj și distrugere. Le pot face pe amândouă, folosind același program și aceeași prezență ascunsă în sistem.