GigaWiper, noul malware care poate spiona și distruge complet un PC. Microsoft avertizează asupra unei amenințări tot mai periculoase
Microsoft a publicat o analiză detaliată despre noul malware GigaWiper, un instrument complex folosit în atacuri informatice și descris într-un raport de The Hacker News. Specialiștii spun că nu este vorba despre un simplu virus sau despre un ransomware obișnuit, ci despre o platformă capabilă să spioneze victimele și, la nevoie, să distrugă complet sistemele compromise.
Spre deosebire de vulnerabilitățile clasice, care pot fi rezolvate prin instalarea unui update de securitate, GigaWiper este un malware utilizat după ce atacatorii au obținut deja acces într-o rețea. Din acest motiv, cea mai bună apărare rămâne detectarea rapidă a intruziunilor și existența unor copii de siguranță offline.
Un singur malware, mai multe metode de distrugere
Potrivit Microsoft, GigaWiper este scris în Go (Golang) și reunește într-un singur pachet trei componente destructive dezvoltate anterior separat. Operatorul atacului poate decide ce metodă folosește în funcție de obiectivul urmărit.
Prima funcție permite suprascrierea directă a discului fizic și ștergerea tabelului de partiții, ceea ce face recuperarea datelor extrem de dificilă sau chiar imposibilă.
A doua componentă imită comportamentul unui ransomware. Fișierele sunt criptate și primesc extensia „.candy”, iar utilizatorul vede un fundal de ecran alarmant. Diferența majoră este că nu există nicio cheie salvată și nici o notă de răscumpărare. Practic, datele sunt pierdute definitiv, fără posibilitatea de recuperare prin plata unei sume de bani.
Cea de-a treia metodă vizează direct partiția Windows, care este suprascrisă în mod repetat cu diferite modele de date, transformând sistemul într-unul imposibil de pornit.
Acest tip de abordare amintește de atacuri celebre precum NotPetya, unde scopul real nu era obținerea unei răscumpărări, ci distrugerea infrastructurii informatice.
Subiectul vine într-un context în care tot mai multe amenințări combină funcții multiple, iar agenții AI și noile instrumente automate schimbă modul în care sunt analizate riscurile cibernetice.
Nu doar șterge datele, ci și spionează utilizatorii
Componenta de distrugere reprezintă doar o parte a problemei. GigaWiper poate funcționa și ca backdoor complet pentru controlul sistemului compromis.
Microsoft arată că malware-ul poate realiza capturi de ecran pentru toate monitoarele conectate, poate înregistra activitatea utilizatorului și poate deschide o sesiune VNC ascunsă, prin care atacatorul vede în timp real desktopul victimei și poate controla mouse-ul și tastatura.
În plus, aplicația colectează informații despre sistem, gestionează procese și servicii Windows, modifică registrul și poate șterge jurnalele de evenimente pentru a ascunde urmele atacului.
Cercetătorii au identificat și funcții inactive în cod, inclusiv elemente asociate unui viitor keylogger și unor mecanisme suplimentare de ștergere a datelor, ceea ce sugerează că proiectul este încă în dezvoltare.
Pentru a evita suspiciunile, malware-ul încearcă să se deghizeze în procese legitime. Creează o sarcină programată denumită „OneDrive Update”, care rulează la fiecare minut, și folosește denumiri asemănătoare unor componente autentice din Windows.
Mai mult, comunicațiile cu serverele atacatorilor sunt mascate prin servicii legitime precum RabbitMQ, Redis și MinIO, ceea ce face traficul mai greu de diferențiat de activitatea normală a unei companii.
Originea malware-ului și ce recomandă Microsoft
Microsoft consideră că GigaWiper reutilizează cod provenit din două familii de malware urmărite anterior, Crucio și FlockWiper. În paralel, compania Binary Defense analizează aceeași amenințare sub numele BLUERABBIT, iar indicatorii tehnici, inclusiv hash-urile și serverele de comandă, coincid.
Potrivit unor analize independente, malware-ul ar avea legături cu o grupare asociată Iranului care ar fi vizat organizații israeliene. Microsoft nu atribuie însă oficial atacurile unui stat sau unei organizații anume.
Experții atrag atenția că o singură platformă poate fi folosită atât pentru spionaj, cât și pentru furt de informații sau sabotaj. Din acest motiv, simpla identificare a malware-ului nu mai indică automat și obiectivul atacatorului.
Microsoft recomandă activarea funcțiilor de protecție împotriva dezactivării antivirusului, utilizarea soluțiilor moderne de endpoint detection and response, blocarea infrastructurii cunoscute folosite de atacatori și monitorizarea atentă a comportamentelor neobișnuite din rețea.
Totodată, administratorii ar trebui să urmărească apariția unor procese suspecte care modifică fișiere critice de boot sau folosesc utilitare Windows în afara ferestrelor normale de mentenanță.
În paralel, bunele practici privind protecția datelor personale și securitatea infrastructurii IT devin tot mai importante, în condițiile în care atacurile moderne urmăresc atât compromiterea informațiilor, cât și paralizarea completă a sistemelor.
Evoluția unor amenințări precum GigaWiper confirmă că malware-ul modern nu mai este construit pentru un singur scop. Același instrument poate colecta informații, controla sistemul și distruge infrastructura în funcție de decizia atacatorului, ceea ce obligă organizațiile să investească tot mai mult în detectare timpurie, monitorizare continuă și planuri solide de recuperare după incidente.