GigaWiper: modułowy backdoor z funkcją niszczenia systemów na żądanie - Security Bez Tabu

GigaWiper: modułowy backdoor z funkcją niszczenia systemów na żądanie

Cybersecurity news

Wprowadzenie do problemu / definicja

GigaWiper to nowa rodzina destrukcyjnego złośliwego oprogramowania, która łączy w jednym implancie trwały dostęp do systemu, zdalne sterowanie oraz możliwość celowego niszczenia danych. Nie jest to klasyczny wiper uruchamiany jednorazowo po kompromitacji środowiska, ale rozbudowany backdoor pozwalający operatorowi prowadzić rekonesans, zarządzać hostem i dopiero w wybranym momencie uruchomić sabotaż.

Taka konstrukcja znacząco zwiększa elastyczność atakującego. Zamiast wdrażać kilka oddzielnych narzędzi, może on wykorzystać jeden modułowy komponent do szpiegowania, utrzymania dostępu i finalnego ataku destrukcyjnego.

W skrócie

GigaWiper został opisany jako modułowy backdoor oparty na Golangu, obserwowany w działaniach destrukcyjnych od października 2025 roku. Malware udostępnia zestaw funkcji obejmujących zdalne wykonywanie poleceń, zarządzanie plikami i procesami, rozpoznanie hosta, przechwytywanie ekranu oraz kilka metod niszczenia danych.

  • umożliwia zdalną powłokę i wykonywanie komend,
  • obsługuje operacje na plikach, katalogach, procesach i usługach,
  • pozwala prowadzić rekonesans systemu i monitorowanie aktywności,
  • zawiera moduły nadpisywania dysków i plików,
  • wykorzystuje nietypową infrastrukturę C2 opartą na RabbitMQ i Redis.

Kontekst / historia

Pojawienie się GigaWiper wpisuje się w szerszy trend ewolucji malware destrukcyjnego. Współczesne kampanie coraz częściej odchodzą od prostych narzędzi typu „fire-and-forget” na rzecz platform, które mogą pozostać aktywne w sieci ofiary przez dłuższy czas i zostać użyte dokładnie wtedy, gdy skutki operacyjne będą największe.

To podejście daje napastnikom przewagę taktyczną. Zamiast natychmiastowego zniszczenia danych po uzyskaniu dostępu, mogą oni najpierw mapować środowisko, identyfikować zależności między systemami, badać kopie zapasowe oraz szukać najważniejszych zasobów biznesowych. Dopiero po takim przygotowaniu uruchamiany jest moduł destrukcyjny.

Badacze wskazują również na powiązania z wcześniejszymi obserwacjami podobnej aktywności pod inną nazwą analityczną, co sugeruje stopniowy rozwój narzędzia i jego dostosowywanie do potrzeb konkretnych operacji.

Analiza techniczna

Od strony technicznej GigaWiper działa jako skonsolidowany implant, łączący funkcje znane z kilku klas malware. Taka architektura ogranicza ślad operacyjny napastnika, ponieważ zmniejsza potrzebę wdrażania wielu oddzielnych komponentów i upraszcza zarządzanie kampanią z poziomu jednego kanału sterowania.

Backdoor oferuje około 20 poleceń operacyjnych. Obejmują one uruchamianie zdalnej powłoki, zarządzanie plikami i katalogami, kontrolę procesów i usług, rekonesans hosta, wykonywanie zrzutów ekranu, inicjowanie ukrytych sesji pulpitu zdalnego oraz przygotowywanie systemu do dalszych działań ofensywnych.

Najbardziej niebezpieczne są jednak moduły odpowiedzialne za niszczenie danych. Pierwszy z nich nadpisuje fizyczne dyski i uszkadza informacje o partycjach, co może doprowadzić do braku możliwości uruchomienia systemu oraz utraty dostępu do danych. Drugi implementuje mechanizm przypominający ransomware, ale z kluczową różnicą: klucze szyfrujące są losowe i celowo porzucane, więc odzyskanie plików po rzekomej zapłacie nie jest realne. Trzeci moduł realizuje wieloprzebiegowe nadpisywanie plików, utrudniając zarówno odzysk danych, jak i analizę śledczą po incydencie.

Na szczególną uwagę zasługuje infrastruktura komunikacji. Zamiast klasycznych kanałów HTTP lub HTTPS operatorzy mają wykorzystywać RabbitMQ do dostarczania poleceń oraz Redis do przesyłania statusów i wyników wykonanych komend. W środowiskach, w których takie technologie są używane legalnie przez aplikacje biznesowe, może to utrudniać wykrycie ruchu związanego z C2.

Dodatkowo część analiz wskazuje na mechanizmy trwałości podszywające się pod legalne komponenty systemowe lub zadania harmonogramu. To zwiększa ryzyko długotrwałego ukrycia infekcji i pozwala operatorowi zachować kontrolę nad hostem nawet po ponownym uruchomieniu systemu.

Konsekwencje / ryzyko

Największe zagrożenie związane z GigaWiper nie ogranicza się do samego momentu zniszczenia danych. Istotniejsza jest faza poprzedzająca sabotaż, w której napastnik może pozostawać w środowisku przez długi czas, eskalować uprawnienia, rozpoznawać zależności infrastrukturalne i przygotowywać maksymalnie dotkliwy scenariusz ataku.

Szczególnie narażone są organizacje korzystające z centralnych repozytoriów danych, usług katalogowych, środowisk wirtualizacyjnych oraz kopii zapasowych dostępnych online. W takim modelu jeden skutecznie użyty implant może doprowadzić nie tylko do utraty danych, ale również do długotrwałego paraliżu operacyjnego.

  • trwała utrata danych i niedostępność systemów,
  • przerwy w działaniu usług biznesowych,
  • zniszczenie stacji roboczych i serwerów,
  • utrudnienie dochodzenia przez usuwanie śladów,
  • pozorowanie ransomware w celu ukrycia rzeczywistego celu ataku,
  • ryzyko skutków wtórnych w środowiskach OT i sektorach krytycznych.

Dla zespołów SOC oznacza to konieczność przesunięcia uwagi z samego aktu „detonacji” na wcześniejsze symptomy kompromitacji, takie jak nietypowa komunikacja sieciowa, nadużycia narzędzi administracyjnych czy anomalie w konfiguracji usług i harmonogramów zadań.

Rekomendacje

Organizacje powinny traktować GigaWiper jako zagrożenie hybrydowe, łączące cechy backdoora, narzędzia do zdalnej administracji i malware destrukcyjnego. Skuteczna obrona wymaga podejścia warstwowego i skupienia na wykrywaniu zachowań, a nie wyłącznie na znanych sygnaturach.

  • monitorować ruch wychodzący pod kątem nietypowego użycia RabbitMQ i Redis, zwłaszcza z hostów końcowych,
  • wdrożyć EDR lub XDR z naciskiem na analizę behawioralną,
  • włączyć ochronę przed wyłączaniem usług bezpieczeństwa i dodawaniem wykluczeń AV,
  • ograniczyć możliwość modyfikacji polityk bezpieczeństwa przez lokalnych administratorów,
  • blokować uruchamianie nieznanych plików wykonywalnych na podstawie reputacji i list zaufania,
  • audytować zadania harmonogramu, usługi, reguły zapory i inne mechanizmy trwałości,
  • monitorować operacje niskopoziomowe na dyskach oraz masowe nadpisywanie plików,
  • utrzymywać kopie zapasowe offline lub niemutowalne i regularnie testować odtwarzanie,
  • segmentować sieć, aby ograniczyć ruch lateralny,
  • prowadzić threat hunting ukierunkowany na fazę przedzniszczeniową.

W praktyce kluczowe znaczenie ma skrócenie czasu wykrycia obecności napastnika. Im dłużej operator utrzymuje się w środowisku, tym większa szansa, że wybierze najbardziej destrukcyjny moment i sposób ataku.

Podsumowanie

GigaWiper pokazuje, że nowoczesne malware destrukcyjne przestaje być prostym narzędziem do szybkiego kasowania danych. To pełnoprawna platforma operacyjna, która łączy trwały dostęp, rekonesans i kilka metod sabotażu w jednym implancie.

Dla obrońców oznacza to konieczność wcześniejszego wykrywania kompromitacji, zanim dojdzie do uruchomienia modułu niszczącego. Szczególne znaczenie mają analiza anomalii w komunikacji C2, kontrola mechanizmów trwałości oraz identyfikacja nietypowych działań administracyjnych w systemach Windows.

Źródła

  1. Dark Reading — GigaWiper Lets Threat Actors Choose Their Own Destructive Attack
  2. Microsoft Signal Blog — Researchers unpack a versatile new malware threat
  3. CSO Online — Microsoft uncovers GigaWiper, a backdoor designed for destruction on demand
  4. SecurityWeek — GigaWiper Combines Multiple Malware for System-Level Sabotage
  5. TechRadar Pro — Microsoft discovers new multi-malware package 'GigaWiper’ capable of deploying wipers and ransomware