Threats
A Microsoft identificou o GigaWiper, um novo malware que combina capacidades de espionagem, controlo remoto, ransomware e destruição total de sistemas
14/07/2026
|
A Microsoft identificou uma nova família de malware destrutivo, denominada GigaWiper, que combina capacidades de backdoor, ransomware e wiper numa única plataforma modular. Segundo a empresa, o grupo responsável utiliza esta ferramenta há mais de oito meses para manter o acesso aos sistemas comprometidos antes de desencadear ações de sabotagem. Desenvolvido em Go, o GigaWiper distingue-se por integrar várias famílias de malware num único implante, permitindo aos atacantes alternar entre atividades de espionagem, controlo remoto e destruição de sistemas. A Microsoft considera que esta abordagem representa uma evolução significativa face aos wipers tradicionais, normalmente concebidos apenas para apagar dados. Detetado pela primeira vez em outubro de 2025, o malware incorpora um componente dedicado à destruição de discos que opera ao nível físico. A ferramenta identifica as partições Windows através de Windows Management Instrumentation (WMI), elimina referências às restantes partições, apaga os discos e reinicia posteriormente o equipamento. A componente de backdoor inclui igualmente funcionalidades de limpeza de discos, mas acrescenta mecanismos de persistência e comunicação com servidores de comando e controlo através de RabbitMQ e Redis. Consoante as instruções recebidas, o malware pode executar o módulo de destruição, provocar um ecrã azul (BSOD), carregar ficheiros para servidores remotos utilizando MinIO Client, executar aplicações, correr comandos PowerShell, capturar imagens do ecrã, gravar sessões, recolher informação do sistema e iniciar o processo de eliminação da instalação do Windows. O GigaWiper suporta ainda dois modos distintos de encriptação de ficheiros. Um deles destrói permanentemente os dados ao utilizar chaves aleatórias que não são guardadas, enquanto o outro permite encriptar e desencriptar ficheiros em massa, à semelhança de operações de ransomware. Entre as restantes capacidades encontram-se a gestão de processos, serviços, registo do Windows e rotas RabbitMQ, a eliminação de logs do sistema e a criação de um servidor que oferece aos atacantes controlo remoto sobre o equipamento comprometido. A Microsoft explica que as funcionalidades de destruição foram reaproveitadas de campanhas anteriores e integradas nesta nova plataforma, criando um malware mais flexível e difícil de detetar. A análise da empresa aponta ainda para ligações entre o GigaWiper e o grupo responsável pelo ransomware Crucio, devido às semelhanças no código de encriptação. Foram também identificadas relações com o FlockWiper, malware destrutivo surgido em junho de 2025, que partilha funções idênticas de limpeza de discos posteriormente adaptadas para Go. Segundo a Microsoft, o GigaWiper permite aos atacantes manter operações discretas de espionagem durante longos períodos antes de desencadearem ataques destrutivos, tornando-se uma ferramenta particularmente perigosa para campanhas de sabotagem contra organizações. |