
Microsoft ha desmantelado una puerta trasera destructiva de Windows llamada GigaWiper. Lo que lo hace destacar es la forma en que está construido. En lugar de una sola herramienta, tres viejos programas destructivos se combinan en uno y se presentan como comandos entre los que los operadores pueden elegir.
Hay diferentes formas de destruir máquinas. Ejecuta «ransomware» falso que borra discos enteros, sobrescribe unidades de Windows o codifica archivos con claves que nunca se guardan.
Dado que se trata de malware y no de un solo defecto, no existe ningún parche para rastrearlo. GigaWiper se ejecuta después de que el atacante ya está dentro, y la detección temprana y las copias de seguridad limpias fuera de línea son las verdaderas defensas.
El mismo archivo malicioso aparece en el segundo informe con un nombre diferente. BLUERABBIT es una defensa binaria de puerta trasera que se informó el mes pasado.
Microsoft enumera cuatro hashes para la puerta trasera GigaWiper. Binary Defense enumera los mismos cuatro para BLUERABBIT, y ambos servidores de comando coinciden. Binary Defense, citando información del Threat Intelligence Group de Google, vincula el malware con grupos dirigidos a organizaciones israelíes, posiblemente con vínculos con Irán. Microsoft no nombró el país.
3 formas de destruir la máquina
GigaWiper está escrito en Go (también conocido como Golang) y se ejecuta en Windows. Las instrucciones se reciben como comandos numerados, tres de los cuales destruyen la máquina de diferentes maneras.
Un limpiador de disco RAW que sobrescribe la unidad física y borra la tabla de particiones (mapa del diseño del disco) antes de reiniciar. No es necesario deshacer la eliminación archivo por archivo. Destruye el contenido del disco directamente. Ransomware falso basado en un código antiguo llamado Crucio. Cifra el archivo, agrega una extensión .candy y cambia el fondo de pantalla del escritorio a una imagen de advertencia. No hay nota de rescate ni clave almacenada, por lo que no hay nada que pagar ni descifrar. Esto es destrucción disfrazada de ransomware. El último método apunta a la unidad de Windows y la sobrescribe varias veces con diferentes patrones de datos. Microsoft dice que es una reescritura de Go del limpiador que rastrea como FlockWiper.
No hay forma de deshacer ninguno de estos. El archivo cifrado no se puede desbloquear porque la clave ya no está. Además, una unidad borrada sólo se puede reconstruir a partir de una copia de seguridad limpia. El objetivo no es pagar, sino hacer que la máquina se detenga.
Ese también es un espía.
La destrucción es sólo la mitad de la historia. La misma puerta trasera puede monitorear y controlar silenciosamente las PC infectadas. Puede tomar capturas de pantalla de todos los monitores, grabar la pantalla mientras alguien está trabajando y abrir una sesión VNC oculta que transmite la pantalla y permite a un atacante escribir o mover el mouse.
También puede recopilar detalles del sistema, administrar programas y servicios en ejecución, editar el registro y borrar los registros de eventos de Windows para ocultar sus rastros. Microsoft encontró comandos inactivos adicionales en las muestras examinadas, incluidos registradores de teclas y apéndices de limpieza adicionales.
De manera discreta, GigaWiper pretende ser OneDrive. Crea una tarea programada llamada OneDrive Update que se ejecuta cada minuto y se rastrea en una clave de registro en HKCU\SOFTWARE\OneDrive\Environment. Cuando abre un canal de control remoto, se esconde detrás de una regla de firewall que lleva el nombre del componente real de Windows Microsoft.Windows.CloudExperienceHost.
Para el tráfico de comandos, omitimos las solicitudes web habituales y, en su lugar, aprovechamos servicios empresariales reales: RabbitMQ para el procesamiento de tareas, Redis para los resultados y MinIO para la extracción. Se trata de herramientas legítimas y no de canales de malware personalizados, por lo que el tráfico parecerá normal en las redes que ya las ejecutan.
Origen del limpiaparabrisas Giga
Microsoft rastrea el código falso de ransomware de GigaWiper hasta Crucio y su limpiador multipaso hasta FlockWiper, y le atribuye al mismo desarrollador la creación de los tres. Sin nombre de país. Pero el señor Curcio no es anónimo. Ese código figuraba como sospechoso de ransomware en un aviso de CISA de diciembre de 2023 contra CyberAv3ngers, un grupo asociado con el Cuerpo de la Guardia Revolucionaria Islámica de Irán.
THN informa que se trata del mismo operativo que se infiltró en instalaciones de agua y energía en Estados Unidos, Israel, Reino Unido e Irlanda en 2023 e inició sesión en controladores industriales expuestos a Internet. En un caso, tomaron el control de una estación de refuerzo del Departamento de Agua de Pensilvania. Las muestras de Crucio que cita Microsoft contienen las mismas huellas dactilares enumeradas en ese aviso.
Microsoft también descubrió una etiqueta repetida, «GRAT», tanto en la ruta de depuración de FlockWiper como en los nombres de las funciones del propio GigaWiper. Esto une las dos herramientas y sugiere otros componentes que aún no han aparecido. Los tiempos varían dependiendo de la fuente. Microsoft fecha la destrucción en octubre de 2025, pero Binary Defense vio por primera vez los mismos archivos que BLUERABBIT en marzo de 2026.
parte de una ola más grande
Las operaciones de limpieza relacionadas con Irán contra Israel han emitido advertencias repetidamente desde 2025 hasta 2026. La Unidad 42 de Palo Alto Networks ha rastreado un aumento simultáneo, principalmente de otro grupo, Handara Haq, y en marzo de 2026, la Dirección Nacional Cibernética de Israel advirtió sobre ataques de limpieza iraníes contra organizaciones locales.
Las tácticas utilizadas por GigaWiper son antiguas. NotPetya de 2017 también se disfrazó de ransomware mientras destruía datos silenciosamente. La suplantación le da tiempo al atacante. Inicialmente, una máquina destrozada parece un caso de ransomware del que alguien podría recuperarse, en lugar de una pérdida total.
Microsoft posiciona a GigaWiper como un operador que integra herramientas independientes en una plataforma flexible. Para los defensores, las consecuencias son tangibles. Si un solo implante puede monitorear, robar o destruir, la herramienta ya no revela el objetivo. Anteriormente, leíamos la intención del malware que descubrimos. En este caso, la decisión se toma después de que el operador ya haya entrado en la sala.
Una plataforma, dos nombres de proveedores y códigos auxiliares inactivos todavía en el código que apuntan a las herramientas que estamos creando.
Lo que debe hacer el defensor
Para encontrarlo rápidamente, necesitará algunas señales específicas.
Una tarea programada para las actualizaciones de OneDrive que se repite cada minuto. Tráfico de RabbitMQ o Redis desde un escritorio normal en lugar de un servidor. El proceso de utilizar takeown e icacls para tomar posesión de los archivos de arranque de Windows, como bootmgr y ntoskrnl.exe, fuera de las ventanas de mantenimiento.
En lo que respecta al producto, Microsoft recomienda habilitar la protección contra manipulaciones para evitar que los atacantes apaguen su antivirus, bloqueen dos servidores de comando conocidos (185.182.193(.)21 y 212.8.248(.)104), ejecuten la detección de puntos finales en modo de bloqueo y habiliten la protección entregada en la nube y la corrección automática. En el informe de Microsoft se puede encontrar una lista completa de hashes de archivos, direcciones de servidores y nombres de detección.
Hacker News se comunicó con Microsoft y Binary Defense para confirmar que GigaWiper y BLUERABBIT son el mismo malware, así como detalles sobre el alcance y los atributos de las víctimas, y actualizará este artículo si recibimos respuesta.
Source link
