Novo malware para Windows pode apagar dados e impedir recuperação de sistemas
- Cyber Security Brazil
- há 6 minutos
- 4 min de leitura

A Microsoft identificou uma nova ameaça destrutiva para Windows que combina funções de backdoor, múltiplos mecanismos de destruição de dados e recursos semelhantes a ransomware em um único pacote modular. Chamado de GigaWiper pela equipe de inteligência de ameaças da empresa, o malware foi observado pela primeira vez em ataques detectados em outubro do ano passado e foi descrito como um implante escrito em Golang com capacidade de comando e controle, espionagem, criptografia e destruição de sistemas comprometidos.
De acordo com a Microsoft, o GigaWiper representa uma mudança relevante na evolução dos wipers, uma categoria de malware normalmente projetada para destruir dados sem necessariamente buscar extorsão financeira. Neste caso, os operadores reuniram em uma única ferramenta funcionalidades que antes apareciam em famílias separadas de malware, criando uma espécie de backdoor destrutivo sob demanda. A estrutura permite que os invasores escolham diferentes comandos conforme o objetivo da operação, desde coleta de informações e controle remoto até apagamento de discos e criptografia irreversível de arquivos.
A análise da Microsoft identificou dois tipos de amostras do GigaWiper em ambientes de vítimas. Ambas são arquivos executáveis portáveis não ofuscados escritos em Golang. A primeira funciona como um wiper independente, atuando diretamente no nível físico do disco. Em vez de apenas apagar arquivos, essa variante sobrescreve conteúdo bruto do disco, remove metadados de partição e reinicia o sistema usando funcionalidades nativas de desligamento do Windows, com reinicialização imediata e sem atraso. Esse tipo de ação pode deixar o dispositivo inutilizável e dificultar qualquer tentativa de recuperação.
A segunda amostra é mais ampla e incorpora a mesma capacidade de destruição de disco como apenas um dos componentes de um backdoor. Além disso, ela estabelece persistência no sistema e cria comunicação com infraestrutura de comando e controle. Segundo a análise, o malware usa RabbitMQ sobre AMQP para receber comandos do servidor C2 e Redis para atualizar o status e a saída das operações executadas. Essa arquitetura indica uma preocupação dos operadores em manter controle contínuo sobre máquinas infectadas e acompanhar a execução das tarefas de forma organizada.
O GigaWiper divide seus comandos em diferentes categorias. Entre elas estão funções do tipo “always run”, usadas para atividades contínuas como gravação de tela; comandos de gerenciamento do sistema; modos especiais de execução; e comandos de shell para executar funcionalidades adicionais. Essa organização modular permite que os invasores usem o malware tanto para observação e movimentação operacional quanto para ações destrutivas no momento considerado mais conveniente.
Entre os recursos mais críticos estão comandos capazes de desabilitar mecanismos de recuperação do Windows, provocar uma tela azul da morte, conhecida como BSOD, e deixar o equipamento incapaz de inicializar novamente. O malware também inclui uma função destrutiva baseada em grande parte no ransomware Crucio. Essa rotina criptografa arquivos com chaves geradas aleatoriamente que não são armazenadas, o que elimina a possibilidade prática de descriptografia posterior pelas vítimas. Nesse cenário, mesmo que a ação se pareça com ransomware, o resultado se aproxima mais de um wiper, já que não há caminho viável para restaurar os dados por meio de uma chave de resgate.
Outra funcionalidade permite criptografar ou descriptografar arquivos em massa usando AES-256 no modo CBC, enquanto um comando separado utiliza o MinIO Client, conhecido como mc, para enviar arquivos roubados a um armazenamento remoto. Essa combinação amplia o impacto potencial da ameaça: antes de destruir ou inutilizar os sistemas, os invasores podem coletar dados, capturar telas, registrar atividades e exfiltrar informações sensíveis.
O backdoor também executa comandos PowerShell, captura screenshots, grava a tela do dispositivo comprometido, coleta informações do sistema, limpa logs de eventos do Windows e permite controle remoto, incluindo interação com teclado e mouse. Esses recursos dão aos operadores capacidade de vigilância, movimentação e manipulação direta da máquina infectada, o que pode ser usado tanto para espionagem quanto para preparação de uma etapa destrutiva posterior.
A Microsoft afirma que o GigaWiper reúne componentes de pelo menos três famílias de malware anteriormente separadas: o ransomware Crucio, uma reimplementação em Go do FlockWiper e um wiper de disco independente. Para os analistas da empresa, a consolidação dessas funções em um único backdoor mostra a evolução das ferramentas do agente responsável, oferecendo mais formas de controlar e destruir sistemas infectados.
A empresa não detalhou a escala dos ataques nem o perfil das organizações atingidas. Ainda assim, os dados divulgados indicam uma ameaça relevante para ambientes corporativos Windows, especialmente pelo uso de capacidades destrutivas combinadas com controle remoto e possível roubo de dados. Para equipes de segurança, o caso chama atenção para a necessidade de monitorar comportamentos associados a persistência, uso anômalo de PowerShell, comunicação com serviços de mensageria e armazenamento remoto, limpeza de logs, desativação de recuperação do sistema e atividades incomuns no nível do disco.
O GigaWiper também se encaixa em uma tendência mais ampla de convergência entre ransomware, wipers e ferramentas de backdoor. Em vez de operar com uma única finalidade, ameaças desse tipo passam a oferecer aos invasores múltiplas opções: espionagem, exfiltração, sabotagem, criptografia e destruição. Para empresas e governos, esse modelo aumenta o risco de interrupção operacional, perda definitiva de dados, exposição de informações confidenciais e custos elevados de resposta a incidentes.