Microsoft ha individuato una nuova e sofisticata minaccia per Windows che segna un’evoluzione significativa nel panorama del malware distruttivo. Battezzata GigaWiper, questa backdoor sviluppata in Go (Golang), che si introduce nel sistema colpito tramite un finto update di OneDrive, non si limita a cancellare dati o cifrare file, ma integra numerose funzionalità offensive all’interno di un’unica piattaforma modulare, offrendo agli attaccanti un arsenale completo per compromettere, controllare e rendere inutilizzabili i sistemi infetti.

Secondo quanto riportato dal team Microsoft Threat Intelligence, i primi attacchi riconducibili a GigaWiper sono stati osservati nell’ottobre dello scorso anno. Sebbene l’azienda di Redmond non abbia fornito dettagli sul numero di organizzazioni coinvolte o sulla diffusione della campagna, l’analisi tecnica evidenzia un malware decisamente più sofisticato rispetto ai tradizionali wiper.

Storicamente, i malware di questa categoria sono progettati con l’unico obiettivo di distruggere i dati presenti sui sistemi colpiti. GigaWiper, invece, amplia notevolmente questo approccio, incorporando capacità tipiche dei ransomware, strumenti di amministrazione remota e funzioni di spionaggio, trasformandosi di fatto in una piattaforma multifunzione che consente agli operatori di scegliere di volta in volta quale tipo di attacco eseguire.

Microsoft ha identificato due varianti principali del malware. La prima è un wiper autonomo che opera direttamente a livello di disco fisico. Invece di eliminare singoli file, sovrascrive i dati grezzi presenti sull’unità di archiviazione, cancella le informazioni relative alle partizioni e forza successivamente il riavvio del computer tramite le normali API di Windows. Una tecnica di questo tipo rende estremamente complesso qualsiasi tentativo di recupero dei dati.

La seconda variante è decisamente più articolata e rappresenta il cuore della minaccia. Oltre a integrare le stesse capacità di distruzione del disco, implementa un backdoor persistente capace di mantenere il controllo del sistema compromesso e ricevere istruzioni da un’infrastruttura di comando e controllo (C2). Per la comunicazione con i server remoti vengono utilizzati RabbitMQ attraverso il protocollo AMQP, mentre Redis viene impiegato per aggiornare lo stato dei comandi e restituire agli operatori i risultati delle operazioni eseguite.

La struttura modulare del malware consente agli attaccanti di organizzare le varie operazioni in categorie differenti. Alcuni moduli vengono eseguiti continuamente, come la registrazione dello schermo della vittima, mentre altri sono dedicati alla gestione del sistema, all’esecuzione di comandi personalizzati oppure all’avvio di shell remote con privilegi elevati. Tra le funzionalità più pericolose figura un comando che disattiva gli strumenti di ripristino di Windows, provoca intenzionalmente una schermata blu (BSOD) e impedisce al computer di riavviarsi correttamente. Si tratta di una tecnica che rende ancora più difficile qualsiasi intervento di recupero dopo l’attacco.

malware gigawiper

Crediti: Shutterstock

Particolarmente interessante è anche il modulo che riprende parte del codice del ransomware Crucio. A differenza dei classici ransomware, tuttavia, l’obiettivo non è ottenere un riscatto economico. I file vengono cifrati utilizzando chiavi generate casualmente che non vengono mai salvate né trasmesse agli attaccanti. Di conseguenza, la decrittazione risulta matematicamente impossibile, trasformando il processo di cifratura in una forma definitiva di distruzione dei dati. Il malware include inoltre un secondo sistema di cifratura basato sull’algoritmo AES-256 in modalità CBC, utilizzabile per cifrare o decifrare grandi quantità di file in base ai comandi ricevuti. A queste capacità si aggiunge un modulo dedicato all’esfiltrazione delle informazioni, che sfrutta il client MinIO per trasferire i dati sottratti verso archivi remoti controllati dagli aggressori.

Le capacità operative di GigaWiper non si fermano però qui. Il malware può infatti eseguire script PowerShell, acquisire screenshot e registrazioni video dell’attività dell’utente, raccogliere informazioni dettagliate sulla configurazione del sistema, cancellare i log eventi di Windows per ostacolare le analisi forensi e assumere il controllo completo della macchina, inclusa la gestione remota di tastiera e mouse.

Secondo Microsoft, questa nuova famiglia di malware rappresenta la convergenza di almeno tre strumenti distinti già osservati in passato. Gli sviluppatori hanno infatti integrato componenti derivati dal ransomware Crucio, una reimplementazione in Go del malware FlockWiper e un wiper specializzato nella distruzione dei dischi, riunendo tutto in un’unica piattaforma estremamente flessibile.

L’individuazione tempestiva della minaccia passa dall’identificazione di alcuni indicatori ben precisi:

  • Un’attività pianificata (Scheduled Task) denominata OneDrive Update configurata per essere eseguita ogni minuto
  • Traffico RabbitMQ o Redis proveniente da normali postazioni desktop anziché da server
  • Processi che utilizzano takeown e icacls per assumere la proprietà di file di avvio critici di Windows, come bootmgr e ntoskrnl.exe, al di fuori delle normali finestre di manutenzione.

Sul fronte della protezione, Microsoft raccomanda di abilitare la funzionalità Tamper Protection per impedire agli aggressori di disattivare l’antivirus, bloccare le comunicazioni con i due server di comando e controllo (C2) noti (185.182.193[.]21 e 212.8.248[.]104), eseguire il rilevamento degli endpoint in modalità blocco e attivare sia la protezione basata sul cloud, sia la correzione automatica. Il report di Microsoft include inoltre l’elenco completo degli hash dei file, degli indirizzi dei server e dei nomi di rilevamento utilizzati per identificare la minaccia.

(Immagine in apertura: Shutterstock)