A equipe de inteligência de ameaças da Microsoft revelou detalhes sobre um novo malware que chama atenção pela quantidade de recursos destrutivos reunidos em um único programa. Batizado de GigaWiper, ele combina funcionalidades de ransomware, ferramentas de destruição de dados e uma backdoor completa para controle remoto do computador, tornando-se uma das ameaças mais versáteis já documentadas pela empresa.
Segundo a Microsoft, o malware começou a ser observado em ataques reais ainda em outubro do ano passado e representa uma mudança na forma como softwares destrutivos vêm sendo desenvolvidos.
Uma “caixa de ferramentas” para criminosos
Tradicionalmente, malwares destrutivos costumam ter um único objetivo: apagar dados ou inutilizar sistemas. Já os ransomwares normalmente criptografam arquivos para exigir um pagamento em troca da chave de descriptografia. O GigaWiper mistura essas duas abordagens.
Desenvolvido na linguagem Go (Golang), o malware funciona como uma plataforma modular. Dependendo dos comandos enviados pelos operadores, ele pode assumir diferentes funções, desde espionar o computador até apagar completamente seu conteúdo.
Isso oferece aos criminosos uma espécie de “canivete suíço”, reunindo diversas famílias de malware anteriormente independentes em uma única ferramenta.
Uma das versões identificadas pela Microsoft funciona exclusivamente como um limpador de discos.
Em vez de apagar arquivos individualmente, ela sobrescreve diretamente o conteúdo físico das unidades de armazenamento, remove informações sobre as partições e força a reinicialização da máquina. Após esse processo, o sistema operacional simplesmente deixa de inicializar.
Já a segunda variante incorpora essa mesma capacidade destrutiva, mas acrescenta uma longa lista de funcionalidades adicionais.
Controle remoto e espionagem
Além da destruição dos dados, o GigaWiper estabelece persistência no Windows e cria um canal permanente de comunicação com os servidores dos criminosos. Esse canal permite executar comandos remotamente, administrar o computador comprometido e realizar diversas atividades de espionagem.
Entre os recursos documentados pela Microsoft estão:
- Captura de telas e gravação contínua da atividade do usuário;
- Execução de comandos PowerShell;
- Controle remoto de teclado e mouse;
- Coleta de informações do sistema;
- Limpeza dos logs de eventos do Windows para dificultar investigações;
- Envio de arquivos roubados para servidores remotos utilizando o cliente MinIO.
A estrutura modular permite que os operadores escolham exatamente quais funções desejam utilizar em cada ataque.
Criptografia sem possibilidade de recuperação
Outro aspecto que diferencia o GigaWiper é o uso de mecanismos inspirados em ransomware. Parte do código deriva do Crucio, uma família de malwares conhecida por criptografar arquivos utilizando chaves geradas aleatoriamente que nunca são armazenadas.
Dessa forma, os arquivos tornam-se irrecuperáveis, mesmo que a vítima estivesse disposta a pagar um resgate. Além disso, o malware também inclui comandos capazes de criptografar e descriptografar arquivos utilizando AES-256 no modo CBC, oferecendo diferentes possibilidades de atuação aos invasores.
Segundo a análise da Microsoft, o GigaWiper reúne componentes provenientes de pelo menos três ferramentas distintas:
- O ransomware Crucio;
- Uma reimplementação em Go do FlockWiper;
- Um limpador de discos independente.
Em vez de distribuir programas separados, os desenvolvedores optaram por consolidar todos esses recursos em uma única backdoor, simplificando a operação dos ataques e aumentando sua flexibilidade.
Evolução das ameaças
Embora a Microsoft não tenha divulgado quantas organizações já foram afetadas nem quais setores foram alvo das campanhas, a empresa considera o GigaWiper um exemplo importante da evolução das ferramentas utilizadas por grupos criminosos.
A tendência observada é que malwares deixem de executar apenas uma função específica e passem a atuar como plataformas completas de ataque, capazes de alternar entre espionagem, roubo de dados, criptografia e destruição total do sistema conforme o objetivo da operação.
Essa convergência torna incidentes de segurança ainda mais difíceis de conter, já que uma única infecção pode oferecer aos invasores praticamente todas as ferramentas necessárias para comprometer completamente um ambiente Windows.
Fique por dentro das principais novidades da semana sobre Linux e tecnologia: receba nossa newsletter!