Gigawiper: il nuovo malware windows che spia e cancella i dati in modo irreversibile
Se utilizzi un computer Windows, è fondamentale sapere che è apparso un nuovo pericolo informatico chiamato GigaWiper. Questo programma non si limita a rubare le tue informazioni: spia il tuo PC e poi cancella tutti i dati permanentemente, rendendo impossibile il recupero di qualsiasi file. La soluzione immediata per proteggersi è mantenere attivo Microsoft Defender, aggiornare regolarmente il sistema operativo ed evitare di eseguire file sconosciuti o provenienti da fonti non ufficiali. Se pensi che il tuo dispositivo sia già compromesso, disconnetti immediatamente il computer dalla rete e contatta un professionista per un’analisi sicura.
GigaWiper rappresenta una svolta significativa nella storia dei malware perché combina funzionalità apparentemente opposte: l’accesso remoto silenzioso per lo spionaggio e la distruzione totale dei dati. Secondo Microsoft Threat Intelligence, questo strumento modulare è stato identificato per la prima volta nell’ottobre 2025, ma le sue capacità di attacco sono già state utilizzate in operazioni reali contro diverse organizzazioni. A differenza dei tradizionali virus che cancellano tutto subito, GigaWiper permette agli hacker di controllare il sistema da remoto, raccogliere prove, registrare lo schermo e, solo quando decidono, attivare la distruzione dei dati in tre modi diversi.
La particolarità più pericolosa di questo malware è la sua capacità di fingere di essere un ransomware senza offrire alcuna possibilità di decrittazione. In passato, i ransomware chiedevano denaro per ripristinare i file; GigaWiper, invece, utilizza una versione modificata del ransomware Crucio che crittografa i file con chiavi generati casualmente e mai salvate. Questo significa che, anche se l’utente pagasse o tentasse qualsiasi procedura, i dati sarebbero perduti per sempre. Inoltre, il malware include strumenti derivati da FlockWiper per cancellare fisicamente il disco, eliminando non solo i file ma anche le strutture che permettono al computer di funzionare.
Gli esperti di sicurezza hanno notato che GigaWiper è stato costruito assemblando componenti di almeno tre famiglie di malware precedentemente separate. Questo approccio “Frankenstein” permette agli attaccanti di scegliere dinamicamente il tipo di sabotaggio più adatto alla loro strategia. Il software può operare come un trojan di accesso remoto (RAT), consentendo agli hacker di vedere ciò che fai, prendere il controllo del mouse e della tastiera, e persino registrare video dello schermo. Parallelamente, mantiene la capacità di distruggere il sistema in modo irreversibile, rendendo il computer inutilizzabile.
Le indagini di Microsoft e Binary Defense suggeriscono che GigaWiper potrebbe essere collegato a un gruppo di cybercriminali con legami con l’Iran, già associato ad altre attività distruttive come BLUEWIPE e SEWERGOO. I bersagli principali finora identificati sono organizzazioni in Israele, sebbene la natura modulare del malware lo rende potenzialmente pericoloso per qualsiasi utente Windows nel mondo. Non si tratta di un attacco limitato a un settore specifico, ma di una minaccia che può colpire aziende, enti pubblici e privati.
Per comprendere meglio come proteggersi, è utile sapere che GigaWiper cerca di mascherare la sua presenza nel sistema. Il malware può apparire come un aggiornamento legittimo di OneDrive, sfruttando le credenziali di sistema per mantenere la persistenza senza essere notato. Inoltre, utilizza infrastrutture di comando basate su RabbitMQ e Redis per ricevere istruzioni dai server degli hacker, permettendo un controllo fluido e rapido delle operazioni di spionaggio e distruzione. Questa capacità di mimetizzarsi rende il rilevamento tradizionale più complesso, richiedendo soluzioni di sicurezza avanzate come la protezione tamper per evitare che gli attaccanti disattivino l’antivirus.
La gravità di GigaWiper è accentuata dalla sua capacità di bloccare il recupero del sistema. Oltre alla crittografia irreversibile e alla cancellazione del disco, il malware include comandi per disabilitare il recupero di Windows, provocare un blue screen of death (BSOD) e rendere il dispositivo impossibile ad avviare. Questo significa che, una volta attivata la modalità di distruzione, non esiste un modo semplice per ripristinare il computer senza un intervento tecnico esterno o una sostituzione completa dell’hardware. Per gli utenti aziendali, questo rappresenta un rischio operativo enorme, poiché potrebbe interrompere completamente le attività critiche.
Microsoft raccomanda misure specifiche per mitigare il rischio: attivare la tamper protection su tutti i dispositivi, bloccare i server di comando noti (come gli indirizzi IP 185.182.193.21 e 212.8.248.104), e utilizzare la protezione cloud con rimedi automatico. Questi passi, combinati con un monitoraggio costante dei log di sistema, possono aiutare a identificare tentativi di accesso anomali prima che il malware esegua le sue funzioni distruttive. La consapevolezza e la prevenzione sono le armi più efficaci contro questo tipo di minaccia evoluta.
In sintesi, GigaWiper non è solo un virus, ma un framework operativo completo che unisce spionaggio e sabotaggio. La sua natura modulare e la provenienza da codice di malware noti lo rendono una minaccia versatile e difficile da prevedere. Gli utenti devono essere consapevoli che, in caso di attacco, il recupero dei dati potrebbe essere impossibile, rendendo la prevenzione e la sicurezza proattiva essenziali per la protezione dei sistemi Windows.
Technical Deep Dive
Per gli utenti tecnici e gli esperti di sicurezza, GigaWiper offre un caso di studio affascinante sulla convergenza delle tecniche di attacco. Il malware è scritto interamente in Golang (linguaggio Go), un dettaglio che permette una compilazione cross-platform e una gestione efficiente delle risorse, rendendo il codice più difficile da analizzare staticamente rispetto ai tradizionali malware in C o C++. Le due varianti di GigaWiper identificate sono portable executable (PE) non stripati, il che significa che contengono metadati di compilazione che possono essere utili per l’analisi forense.
La variante standalone è un wiper a livello di disco fisico. Opera scrivendo direttamente sul contenuto raw del disco, rimuovendo le metadata delle partizioni e forzando un riavvio immediato tramite la funzione di shutdown di Windows con un ritardo di zero secondi. Questo approccio bypassa i meccanismi di protezione a livello di file e rende il recupero dei dati praticamente impossibile senza strumenti hardware specializzati.
La variante backdoor, più complessa, implementa un sistema di comando e controllo (C2) basato su RabbitMQ over AMQP per la ricezione delle istruzioni e Redis per lo aggiornamento dello stato dei comandi. La persistenza è ottenuta tramite la creazione di chiavi di registro e la mimetizzazione come processo di aggiornamento di OneDrive, sfruttando la fiducia dell’utente in servizi legittimi. I comandi sono organizzati in categorie: “always run” per attività continue come la registrazione dello schermo, “manage command” per la gestione del sistema, e “special/shell command” per funzionalità aggiuntive.
Le funzionalità destructive includono:
- Un comando wiper standalone a livello fisico.
- Un comando basato su Crucio ransomware che crittografa i file con chiavi AES-256 in modo CBC, ma con chiavi generate casualmente e mai salvate, rendendo la decrittazione impossibile.
- Un comando che reimplementa la logica di FlockWiper (originariamente in C, ora in Go) con multi-pass secure wiping per una cancellazione sicura.
- Un comando che utilizza MinIO Client (mc) per l’upload di file rubati su storage remoto.
Il malware esegue anche comandi PowerShell, cattura schermate, raccoglie informazioni di sistema, cancella i log degli eventi Windows e permette il controllo remoto della tastiera e del mouse. L’architettura modulare e la capacità di attivare dinamicamente i payload rendono GigaWiper un esempio di come gli attori della threat intelligence stanno evolvendo verso framework unificati, integrando spionaggio e distruzione in un unico strumento robusto.





