Microsoft avertizează asupra malware-ului GigaWiper care poate spiona și distruge PC-uri
Microsoft a publicat o analiză detaliată referitoare la GigaWiper, un malware avansat utilizat în atacuri informatice. Conform raportului, software-ul este conceput pentru distrugerea sistemelor infectate, precum și pentru funcții de spionaj, fiind descris ca...
Microsoft a publicat o analiză detaliată referitoare la GigaWiper, un malware avansat utilizat în atacuri informatice. Conform raportului, software-ul este conceput pentru distrugerea sistemelor infectate, precum și pentru funcții de spionaj, fiind descris ca un instrument complex, diferit de malware-ul obișnuit, precum ransomware.
Caracteristici tehnice și metode de distrugere
GigaWiper este dezvoltat în limbajul Go (Golang). Malware-ul combină trei componente destructive separate într-un pachet unic, selectate în funcție de obiectivul atacatorului.
Prima metodă permite suprascrierea discurilor fizice și ștergerea tabelului de partiții, complicând sau chiar făcând imposibilă recuperarea datelor.
A doua componentă funcționează similar unui ransomware, criptând fișierele și adăugând extensia „.candy” la acestea. În contrast cu ransomware-urile obișnuite, nu există o cheie de decriptare salvată sau o notă de răscumpărare, ceea ce face imposibilă recuperarea informațiilor.
Cea de-a treia metodă vizează partiția Windows, fiind suprascrisă în mod repetat cu diferite modele de date, transformând sistemul într-unul inutilizabil. Aceasta amintește de atacuri precum NotPetya, unde scopul nu era obținerea unei răscumpărări, ci distrugerea infrastructurii informatice.
Specialiștii notează că astfel de abordări, în care se combină distrugerea și spionajul, devin tot mai frecvente, fiind facilitate de noile tehnologii și instrumente automate de analiză a riscurilor.
Capacități de spionaj și control al sistemului compromis
Pe lângă funcțiile de distrugere, GigaWiper poate opera ca backdoor complet pentru controlul sistemului infectat. Acesta poate face capturi de ecran de pe toate monitoarele conectate, înregistra activitatea utilizatorului și iniția sesiuni ascunse VNC, permițând atacatorilor control în timp real asupra desktopurilor.
De asemenea, malware-ul colectează informații despre sistem, modifică registrele și gestionează procesele și serviciile Windows. În plus, poate șterge jurnalele de evenimente pentru a ascunde urmele activității.
Există în cod funcții inactive, inclusiv elemente pentru un posibil keylogger și mecanisme suplimentare de ștergere a datelor. Aceasta indică faptul că proiectul este încă în dezvoltare.
Pentru a evita detectarea, GigaWiper se deghizează în procese legitime, creând sarcini programate denumite „OneDrive Update”, care rulează la fiecare minut. Comunicațiile cu serverele atacatorilor sunt mascate sub servicii de transfer legitime precum RabbitMQ, Redis și MinIO, dificultând analiza traficului de date.
Originea și recomandările Microsoft
Microsoft susține că GigaWiper reutilizează cod din două familii de malware anterioare, Crucio și FlockWiper. În paralel, compania Binary Defense analizează aceeași amenințare sub numele BLUERABBIT, cu indicatori tehnici, inclusiv hash-uri și servere de comandă, fiind identici.
Analize independente sugerează legături cu o grupare asociată Iranului, vizând anterior organizații israeliene. Microsoft nu atribuie însă oficial aceste atacuri unui stat sau unei entități.
Compania de securitate recomandă ca organizațiile să fie vigilente în detectarea intruziunilor și să mențină copii de siguranță offline. Nicio soluție de software nu poate elimina complet riscurile lucrului cu astfel de malware sofisticat, în condițiile în care GigaWiper poate activa multiple funcții de distrugere și spionaj, fiind conceput pentru a compromise sistemele în mod eficient.


0 comentarii