A Microsoft desmontou um backdoor destrutivo para Windows que batizou de GigaWiper.
O que mais chama atenção é a forma como ele foi construído: em vez de uma única ferramenta, o pacote reúne três programas destrutivos mais antigos em um só, expostos como comandos que o operador pode escolher.
Cada um desses comandos destrói a máquina de um jeito diferente: apaga todo o disco, sobrescreve a unidade do Windows ou executa um falso ransomware que embaralha arquivos com uma chave que nunca é salva.
Como se trata de malware e não de uma falha isolada, não há patch a ser aplicado.
O GigaWiper é uma ferramenta usada depois que o invasor já entrou no ambiente, o que torna a detecção precoce e os backups limpos e offline a principal defesa.
Os mesmos arquivos maliciosos aparecem em outro relatório com um nome diferente: BLUERABBIT, um backdoor que a Binary Defense identificou no mês passado.
A Microsoft lista quatro hashes para o backdoor GigaWiper.
A Binary Defense traz os mesmos quatro para o BLUERABBIT, e os servidores de comando coincidem nos dois casos.
Citando o Threat Intelligence Group do Google, a Binary Defense atribui o malware a um grupo provavelmente ligado ao Irã e com foco em organizações israelenses.
A Microsoft não apontou país de origem.
## Três formas de destruir uma máquina
O GigaWiper foi escrito em Go, também chamado Golang, e roda em Windows.
Ele recebe ordens por comandos numerados, e três deles têm o objetivo de destruir a máquina, cada um de uma maneira diferente.
Um deles é um apagador bruto de disco.
Ele sobrescreve a unidade física e apaga a tabela de partições, que é o mapa da estrutura do disco, antes de reiniciar.
Não há exclusão arquivo por arquivo que possa ser revertida; ele destrói diretamente o conteúdo do disco.
Outro é um falso ransomware baseado em um código mais antigo chamado Crucio.
Ele criptografa arquivos, adiciona a extensão .candy e troca o papel de parede da área de trabalho por uma imagem de alerta.
Não existe nota de resgate nem chave salva, então não há pagamento que resolva e nem como descriptografar os dados.
É destruição vestida de ransomware.
O terceiro mira a unidade do Windows e a sobrescreve várias vezes com padrões diferentes de dados.
Segundo a Microsoft, trata-se de uma reescrita em Go de um wiper que ela acompanha pelo nome de FlockWiper.
Nenhuma dessas ações deixa caminho de volta.
Arquivos criptografados não podem ser desbloqueados porque a chave desaparece, e discos apagados só podem ser reconstruídos a partir de backups limpos.
O objetivo é deixar a máquina inutilizável, não obter pagamento.
## Também espionam
A destruição é apenas metade da história.
O mesmo backdoor também pode observar e controlar silenciosamente um computador infectado.
Ele tira capturas de tela de todos os monitores, grava a tela enquanto alguém trabalha e pode abrir uma sessão VNC oculta, que transmite a imagem e permite ao invasor digitar e mover o mouse.
O malware também coleta informações do sistema, gerencia programas e serviços em execução, altera o Registro e pode apagar logs de eventos do Windows para encobrir rastros.
A Microsoft encontrou ainda outros comandos adormecidos nas amostras analisadas, incluindo blocos para um keylogger e wipers adicionais.
Para ficar fora do radar, o GigaWiper se passa por OneDrive.
Ele cria uma tarefa agendada chamada OneDrive Update, que é executada a cada minuto, e registra sua presença em uma chave do Registro em HKCU\SOFTWARE\OneDrive\Environment.
Quando abre seu canal de controle remoto, ele se esconde atrás de uma regra de firewall com nome de um componente real do Windows, Microsoft.Windows.CloudExperienceHost.
No tráfego de comando, ele evita requisições web comuns e usa serviços corporativos legítimos.
O RabbitMQ é usado para distribuir tarefas, o Redis para devolver resultados e o MinIO para exfiltração.
Como são ferramentas reais, e não um canal personalizado de malware, o tráfego pode parecer normal em redes que já utilizam esses serviços.
## De onde veio o GigaWiper
A Microsoft rastreia o código de falso ransomware do GigaWiper até o Crucio e o wiper de múltiplas passagens até o FlockWiper, e avalia que o mesmo desenvolvedor construiu os três.
A empresa não cita país.
Mas o Crucio não é anônimo.
Seu código foi listado como suspeita de ransomware em um alerta da CISA de dezembro de 2023 sobre o CyberAv3ngers, grupo ligado à Guarda Revolucionária Islâmica do Irã.
Esse mesmo grupo, segundo o The Hacker News, invadiu sites de água e energia nos Estados Unidos, Israel, Reino Unido e Irlanda em 2023, acessando controladores industriais expostos na internet.
Em um dos casos, assumiu o controle de uma estação de reforço de uma autoridade de água na Pensilvânia.
A amostra do Crucio citada pela Microsoft traz a mesma impressão digital listada naquele alerta.
A Microsoft também encontrou a tag recorrente “GRAT”, tanto nos caminhos de depuração do FlockWiper quanto nos nomes de funções do próprio GigaWiper, conectando as duas ferramentas e sugerindo a existência de um componente adicional ainda não revelado.
O cronograma varia conforme a fonte: a Microsoft data a atividade destrutiva de outubro de 2025, enquanto a Binary Defense viu os mesmos arquivos como BLUERABBIT pela primeira vez em março de 2026.
## Parte de uma onda maior
A atividade de wipers ligada ao Irã contra Israel tem gerado alertas repetidos ao longo de 2025 e 2026.
O Unit 42, da Palo Alto Networks, vem acompanhando uma escalada paralela, em grande parte associada a outro grupo, o Handala Hack, e, em março de 2026, a Diretoria Nacional de Cibersegurança de Israel alertou para ataques de wipers iranianos contra organizações locais.
A tática usada pelo GigaWiper não é nova.
O NotPetya, em 2017, também se passou por ransomware enquanto destruía dados em silêncio.
A camuflagem dá ao invasor mais tempo, porque uma máquina inutilizada primeiro parece um caso de ransomware que talvez ainda possa ser recuperado, e não a perda total que de fato representa.
A Microsoft descreve o GigaWiper como um esforço para reunir ferramentas separadas em uma plataforma flexível.
Para os defensores, a consequência é prática: quando um único implant pode vigiar, roubar ou destruir, a ferramenta deixa de denunciar a intenção.
Antes, era possível inferir o objetivo pelo malware encontrado; aqui, o operador decide depois de já estar dentro do ambiente.
Uma única plataforma, dois nomes atribuídos por fornecedores diferentes e blocos de comando ainda adormecidos no código indicam uma ferramenta que continua em desenvolvimento.
## O que os defensores devem fazer
A identificação rápida depende de alguns sinais específicos:
- tarefa agendada OneDrive Update executando a cada minuto;
- tráfego de RabbitMQ ou Redis vindo de desktops comuns, e não de servidores;
- processos usando takeown e icacls para tomar posse de arquivos de inicialização do Windows, como bootmgr e ntoskrnl.exe, fora de janelas de manutenção.
No lado da proteção, a Microsoft recomenda ativar a proteção contra adulteração para impedir que invasores desativem o antivírus, bloquear os dois servidores de comando já conhecidos, 185.182.193[.]21 e 212.8.248[.]104, executar a detecção de endpoint em modo de bloqueio e habilitar proteção fornecida pela nuvem e remediação automática.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...