Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Las cuentas inactivas de GitHub ayudan a los atacantes a integrarse mientras mapean las organizaciones empresariales

¿Cómo decidió el gobierno que era seguro publicar los modelos fronterizos de OpenAI?

Nuevo paquete de puerta trasera de Windows GigaWiper para limpieza de discos, ransomware falso y software espía

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Nuevo paquete de puerta trasera de Windows GigaWiper para limpieza de discos, ransomware falso y software espía
Identidad

Nuevo paquete de puerta trasera de Windows GigaWiper para limpieza de discos, ransomware falso y software espía

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 9, 2026No hay comentarios7 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Microsoft ha desmantelado una puerta trasera destructiva de Windows llamada GigaWiper. Lo que lo hace destacar es la forma en que está construido. En lugar de una sola herramienta, tres viejos programas destructivos se combinan en uno y se presentan como comandos entre los que los operadores pueden elegir.

Hay diferentes formas de destruir máquinas. Ejecuta «ransomware» falso que borra discos enteros, sobrescribe unidades de Windows o codifica archivos con claves que nunca se guardan.

Dado que se trata de malware y no de un solo defecto, no existe ningún parche para rastrearlo. GigaWiper se ejecuta después de que el atacante ya está dentro, y la detección temprana y las copias de seguridad limpias fuera de línea son las verdaderas defensas.

El mismo archivo malicioso aparece en el segundo informe con un nombre diferente. BLUERABBIT es una defensa binaria de puerta trasera que se informó el mes pasado.

Microsoft enumera cuatro hashes para la puerta trasera GigaWiper. Binary Defense enumera los mismos cuatro para BLUERABBIT, y ambos servidores de comando coinciden. Binary Defense, citando información del Threat Intelligence Group de Google, vincula el malware con grupos dirigidos a organizaciones israelíes, posiblemente con vínculos con Irán. Microsoft no nombró el país.

3 formas de destruir la máquina

GigaWiper está escrito en Go (también conocido como Golang) y se ejecuta en Windows. Las instrucciones se reciben como comandos numerados, tres de los cuales destruyen la máquina de diferentes maneras.

Un limpiador de disco RAW que sobrescribe la unidad física y borra la tabla de particiones (mapa del diseño del disco) antes de reiniciar. No es necesario deshacer la eliminación archivo por archivo. Destruye el contenido del disco directamente. Ransomware falso basado en un código antiguo llamado Crucio. Cifra el archivo, agrega una extensión .candy y cambia el fondo de pantalla del escritorio a una imagen de advertencia. No hay nota de rescate ni clave almacenada, por lo que no hay nada que pagar ni descifrar. Esto es destrucción disfrazada de ransomware. El último método apunta a la unidad de Windows y la sobrescribe varias veces con diferentes patrones de datos. Microsoft dice que es una reescritura de Go del limpiador que rastrea como FlockWiper.

No hay forma de deshacer ninguno de estos. El archivo cifrado no se puede desbloquear porque la clave ya no está. Además, una unidad borrada sólo se puede reconstruir a partir de una copia de seguridad limpia. El objetivo no es pagar, sino hacer que la máquina se detenga.

Ese también es un espía.

La destrucción es sólo la mitad de la historia. La misma puerta trasera puede monitorear y controlar silenciosamente las PC infectadas. Puede tomar capturas de pantalla de todos los monitores, grabar la pantalla mientras alguien está trabajando y abrir una sesión VNC oculta que transmite la pantalla y permite a un atacante escribir o mover el mouse.

También puede recopilar detalles del sistema, administrar programas y servicios en ejecución, editar el registro y borrar los registros de eventos de Windows para ocultar sus rastros. Microsoft encontró comandos inactivos adicionales en las muestras examinadas, incluidos registradores de teclas y apéndices de limpieza adicionales.

De manera discreta, GigaWiper pretende ser OneDrive. Crea una tarea programada llamada OneDrive Update que se ejecuta cada minuto y se rastrea en una clave de registro en HKCU\SOFTWARE\OneDrive\Environment. Cuando abre un canal de control remoto, se esconde detrás de una regla de firewall que lleva el nombre del componente real de Windows Microsoft.Windows.CloudExperienceHost.

Para el tráfico de comandos, omitimos las solicitudes web habituales y, en su lugar, aprovechamos servicios empresariales reales: RabbitMQ para el procesamiento de tareas, Redis para los resultados y MinIO para la extracción. Se trata de herramientas legítimas y no de canales de malware personalizados, por lo que el tráfico parecerá normal en las redes que ya las ejecutan.

Origen del limpiaparabrisas Giga

Microsoft rastrea el código falso de ransomware de GigaWiper hasta Crucio y su limpiador multipaso hasta FlockWiper, y le atribuye al mismo desarrollador la creación de los tres. Sin nombre de país. Pero el señor Curcio no es anónimo. Ese código figuraba como sospechoso de ransomware en un aviso de CISA de diciembre de 2023 contra CyberAv3ngers, un grupo asociado con el Cuerpo de la Guardia Revolucionaria Islámica de Irán.

THN informa que se trata del mismo operativo que se infiltró en instalaciones de agua y energía en Estados Unidos, Israel, Reino Unido e Irlanda en 2023 e inició sesión en controladores industriales expuestos a Internet. En un caso, tomaron el control de una estación de refuerzo del Departamento de Agua de Pensilvania. Las muestras de Crucio que cita Microsoft contienen las mismas huellas dactilares enumeradas en ese aviso.

Microsoft también descubrió una etiqueta repetida, «GRAT», tanto en la ruta de depuración de FlockWiper como en los nombres de las funciones del propio GigaWiper. Esto une las dos herramientas y sugiere otros componentes que aún no han aparecido. Los tiempos varían dependiendo de la fuente. Microsoft fecha la destrucción en octubre de 2025, pero Binary Defense vio por primera vez los mismos archivos que BLUERABBIT en marzo de 2026.

parte de una ola más grande

Las operaciones de limpieza relacionadas con Irán contra Israel han emitido advertencias repetidamente desde 2025 hasta 2026. La Unidad 42 de Palo Alto Networks ha rastreado un aumento simultáneo, principalmente de otro grupo, Handara Haq, y en marzo de 2026, la Dirección Nacional Cibernética de Israel advirtió sobre ataques de limpieza iraníes contra organizaciones locales.

Las tácticas utilizadas por GigaWiper son antiguas. NotPetya de 2017 también se disfrazó de ransomware mientras destruía datos silenciosamente. La suplantación le da tiempo al atacante. Inicialmente, una máquina destrozada parece un caso de ransomware del que alguien podría recuperarse, en lugar de una pérdida total.

Microsoft posiciona a GigaWiper como un operador que integra herramientas independientes en una plataforma flexible. Para los defensores, las consecuencias son tangibles. Si un solo implante puede monitorear, robar o destruir, la herramienta ya no revela el objetivo. Anteriormente, leíamos la intención del malware que descubrimos. En este caso, la decisión se toma después de que el operador ya haya entrado en la sala.

Una plataforma, dos nombres de proveedores y códigos auxiliares inactivos todavía en el código que apuntan a las herramientas que estamos creando.

Lo que debe hacer el defensor

Para encontrarlo rápidamente, necesitará algunas señales específicas.

Una tarea programada para las actualizaciones de OneDrive que se repite cada minuto. Tráfico de RabbitMQ o Redis desde un escritorio normal en lugar de un servidor. El proceso de utilizar takeown e icacls para tomar posesión de los archivos de arranque de Windows, como bootmgr y ntoskrnl.exe, fuera de las ventanas de mantenimiento.

En lo que respecta al producto, Microsoft recomienda habilitar la protección contra manipulaciones para evitar que los atacantes apaguen su antivirus, bloqueen dos servidores de comando conocidos (185.182.193(.)21 y 212.8.248(.)104), ejecuten la detección de puntos finales en modo de bloqueo y habiliten la protección entregada en la nube y la corrección automática. En el informe de Microsoft se puede encontrar una lista completa de hashes de archivos, direcciones de servidores y nombres de detección.

Hacker News se comunicó con Microsoft y Binary Defense para confirmar que GigaWiper y BLUERABBIT son el mismo malware, así como detalles sobre el alcance y los atributos de las víctimas, y actualizará este artículo si recibimos respuesta.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleNvidia es víctima del mercado informático que creó
Next Article ¿Cómo decidió el gobierno que era seguro publicar los modelos fronterizos de OpenAI?
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Las cuentas inactivas de GitHub ayudan a los atacantes a integrarse mientras mapean las organizaciones empresariales

julio 9, 2026

npm 12 deshabilita los scripts de instalación de forma predeterminada para reducir el riesgo de la cadena de suministro

julio 9, 2026

Cloud Bucket Hijacking, Windows LPE Chain, Global Fraud Bust + 17 More Stories

julio 9, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Las cuentas inactivas de GitHub ayudan a los atacantes a integrarse mientras mapean las organizaciones empresariales

¿Cómo decidió el gobierno que era seguro publicar los modelos fronterizos de OpenAI?

Nuevo paquete de puerta trasera de Windows GigaWiper para limpieza de discos, ransomware falso y software espía

Nvidia es víctima del mercado informático que creó

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.