GigaWiper, la piattaforma malware che spia e distrugge i sistemi compromessi - Cyber Security 360

Una nuova minaccia per Windows, denominata GigaWiper, è stata identificata dal Microsoft Threat Intelligence: il malware, sviluppato in Go, combina funzionalità di accesso remoto, spionaggio e distruzione dei sistemi compromessi.

La caratteristica più interessante non è soltanto la sua capacità di cancellare i dati, come il suo nome lascia intendere, ma la sua architettura modulare costruita integrando componenti provenienti da diverse famiglie di malware già note.

Le prime attività attribuite a GigaWiper risalgono all’ottobre 2025, quando Microsoft ha osservato attacchi mirati che culminavano nella completa distruzione delle macchine compromesse.

Una backdoor e tre wiper in un unico impianto

A differenza dei tradizionali wiper, progettati esclusivamente per cancellare dati, GigaWiper agisce inizialmente come una backdoor completa.

Dopo aver ottenuto il controllo del sistema, gli operatori possono eseguire numerosi comandi remoti (un insieme di 20 codici che coprono un’ampia gamma di funzionalità) per raccogliere informazioni, gestire processi e servizi, modificare il registro di Windows, acquisire screenshot, registrare lo schermo e controllare il computer da remoto.

Per fare ciò, GigaWiper utilizza una comunicazione bidirezionale consentendo al malware di rimanere attivo mentre riceve comandi da un server C2 RabbitMQ (185.182.193[.]21 sulla porta 5544) e risponde ad un server Redis in ascolto (sulla porta 7542). Solo nella fase finale dell’attacco vengono attivati i moduli distruttivi.

Questo approccio consente agli attaccanti di mantenere il pieno controllo dell’infrastruttura compromessa e scegliere il momento più opportuno per provocare il massimo danno operativo.

L’analisi di Microsoft evidenzia inoltre che GigaWiper non è stato sviluppato interamente da zero. Gli autori hanno incorporato codice proveniente da almeno tre differenti famiglie malware.

Il primo componente opera direttamente sui dischi fisici sovrascrivendo i dati e distruggendo le informazioni sulle partizioni (comando 1).

Un secondo modulo deriverebbe dal ransomware Crucio (comando 3), documentato in un avviso della Cybersecurity and Infrastructure Security Agency (CISA) nel dicembre 2023.

Con l’esecuzione di questo modulo i file vengono cifrati, ne viene modificata l’estensione e possono comparire messaggi che simulano un normale attacco ransomware.

Tuttavia, non esiste alcuna possibilità di recuperare i dati pagando un riscatto, poiché le chiavi crittografiche vengono eliminate immediatamente. L’obiettivo non è ottenere un profitto economico ma provocare il massimo impatto distruttivo, generando anche confusione durante la risposta all’incidente.

Il ransomware si trasforma così in uno strumento di distruzione.

Il terzo componente riprodurrebbe le funzionalità di FlockWiper (comando 12), un malware noto per essere implementato in linguaggio C ma ora riscritto in Golang e potenziato con tecniche di cancellazione multipla dei dati per rendere ancora più difficile qualsiasi tentativo di recupero.

GigaWiper imposta, inoltre, un’attività pianificata denominata “OneDrive Update” che viene eseguita ogni minuto e all’avvio del sistema per garantire la persistenza.

Una piattaforma per attacchi complessi

Secondo Microsoft questa evoluzione rappresenta un cambiamento significativo nelle tecniche impiegate dagli attori delle minacce.

Invece di distribuire strumenti separati per l’accesso remoto, il movimento laterale e la distruzione finale, tutte le funzionalità vengono concentrate in un unico impianto malware.

Questa integrazione riduce il numero di file distribuiti, semplifica la gestione delle operazioni da parte degli attaccanti e rende più difficile individuare le diverse fasi dell’intrusione.

Inoltre, gli operatori possono scegliere dinamicamente quale metodo distruttivo utilizzare in base all’ambiente compromesso.

La presenza di un malware come GigaWiper conferma che le organizzazioni devono individuare gli attaccanti molto prima dell’attivazione delle funzioni distruttive. Una volta eseguiti i moduli di cancellazione, infatti, il ripristino può risultare impossibile.

I consigli per mitigate il rischio

Le misure di mitigazione raccomandate da Microsoft si concentrano pertanto sulla prevenzione delle azioni di disattivazione delle difese.

In particolare, per Microsoft Defender Antivirus abilitare la protezione antimanomissione per impedire agli aggressori di disattivare i servizi di sicurezza, eseguire il rilevamento e la risposta degli endpoint in modalità di blocco e abilitare la protezione basata sul cloud per intercettare le minacce in rapida evoluzione.