El malware GigaWiper ataca sistemas Windows con borrados de datos y comportamiento de ransomware falso

Microsoft ha identificado GigaWiper, una puerta trasera destructiva de Windows que combina funciones de control remoto con múltiples capacidades de borrado de datos, incluida la destrucción de discos, el cifrado de archivos irrecuperables y el sabotaje del sistema.

El malware se vinculó por primera vez con una actividad de limpieza destructiva en entornos comprometidos en octubre de 2025. SegúnInteligencia de amenazas de Microsoft, GigaWiper está escrito en Golang y funciona como un implante modular que puede recibir comandos antes de desencadenar acciones destructivas.

La amenaza es importante porque no se comporta como el ransomware tradicional. Un componente imita el ransomware cifrando archivos y cambiando las extensiones, pero no guarda la clave ni deja una nota de rescate, lo que imposibilita la recuperación mediante descifrado.

¿Qué es GigaWiper?

GigaWiper es una puerta trasera destructiva para los sistemas Windows. Brinda a los atacantes una forma de mantener el acceso, recopilar información, ejecutar comandos, administrar servicios y claves de registro, capturar pantallas, registrar actividad y luego borrar o corromper datos.

Microsoft dice que la herramienta combina piezas de al menos tres familias de malware. El limpiador de disco independiente está integrado dentro de la puerta trasera, mientras que dos comandos destructivos adicionales están vinculados al código Crucio y FlockWiper.

Google Threat Intelligence Group y Binary Defense rastrean el mismo malware que BLUERABBIT. Microsoft lo rastrea como GigaWiper.

Capacidadcomo funcionaImpacto
Limpieza del disco físicoEncuentra unidades físicas, elimina referencias de particiones, sobrescribe el contenido sin formato del disco y fuerza un reinicioPuede inutilizar los sistemas y los datos almacenados.
Cifrado de ransomware falsoCifra archivos con material de clave aleatorio que no se guarda y cambia el nombre de los archivos con .candyNo deja ninguna ruta de descifrado utilizable
Limpieza de unidades de Windows de varias pasadasLimpia la unidad de instalación de Windows con múltiples pasadas de sobrescrituraAumenta la posibilidad de pérdida permanente de datos
Sabotaje del sistemaElimina archivos de recuperación, arranque y kernel y puede desencadenar una condición de pantalla azulPuede impedir el arranque y la recuperación normales
control de puerta traseraUtiliza RabbitMQ para comandos y Redis para resultados y actualizaciones de estado.Permite la transmisión o instrucciones dirigidas al atacante

Cómo el limpiador de disco daña los sistemas Windows

El limpiador independiente de GigaWiper opera a nivel del disco físico. En lugar de eliminar documentos uno por uno, ataca las estructuras de unidades que Windows necesita para localizar los datos y arrancar correctamente.

El limpiador enumera los discos físicos a través del Instrumental de administración de Windows, identifica la unidad que contiene la instalación de Windows y elimina las referencias de partición de otros discos. Luego sobrescribe el contenido sin formato del disco en grandes fragmentos.

Después de la limpieza, el malware obliga a un reinicio inmediato. Esa combinación puede dejar a la víctima con sistemas que no pueden arrancar, particiones faltantes y almacenes de datos dañados.

La rutina falsa de ransomware no ofrece recuperación

Un comando de GigaWiper utiliza código vinculado al ransomware Crucio. Lee archivos, los cifra con AES-CBC, elimina los originales y cambia el nombre de los archivos cifrados con la extensión .candy.

A primera vista, la rutina parece ransomware, pero no funciona como una herramienta de extorsión normal. Microsoft descubrió que la clave y el vector de inicialización se generan aleatoriamente y no se guardan en ningún lugar.

Eso significa que el atacante no tiene capacidad aparente para descifrar los datos. El malware tampoco deja caer una nota de rescate, aunque puede establecer una imagen de advertencia como fondo de pantalla.

GigaWiper también toma prestado de FlockWiper

El segundo comando de limpieza importante, llamado WipeCMain, está vinculado a FlockWiper. Microsoft dice que la lógica es esencialmente idéntica a una muestra independiente de FlockWiper, aunque GigaWiper la vuelve a implementar en Golang y actualiza partes del comportamiento.

Este comando se centra en la unidad de instalación de Windows, normalmente la unidad C. Realiza múltiples pasadas de sobrescritura utilizando diferentes patrones de bytes, incluidos ceros, valores 0xFF y bytes aleatorios.

Elanálisis de microsoftTambién señala referencias a "GRAT" en las rutas de la base de datos del programa FlockWiper y los nombres de las funciones de GigaWiper, lo que sugiere un posible marco relacionado o un componente no recuperado.

Los comandos de puerta trasera ofrecen a los atacantes muchas opciones

GigaWiper incluye 20 códigos de comando numéricos. Algunos son destructivos, mientras que otros admiten vigilancia, control remoto, descubrimiento de sistemas, gestión de procesos, gestión de servicios, gestión de registros y limpieza de registros de eventos.

La puerta trasera puede tomar capturas de pantalla de pantallas activas y grabar la pantalla cuando el sistema está desbloqueado y el usuario no está inactivo. También puede iniciar un servidor de control remoto similar a VNC que transmite la pantalla y permite el control del teclado y el mouse.

Puede borrar los registros de eventos de Windows, incluidos los registros de sistema, configuración, aplicación, eventos reenviados y seguridad. Ese comportamiento puede ralentizar la respuesta a incidentes al eliminar rastros de actividad del atacante.

  • El comando 1 activa el limpiador de disco físico integrado.
  • El comando 2 elimina los archivos de recuperación, de arranque y del kernel y puede impedir el arranque.
  • El comando 3 inicia la rutina de cifrado de archivos similar a un ransomware.
  • El comando 7 ejecuta comandos de shell y admite acciones de administración de colas.
  • El comando 8 administra el enrutamiento RabbitMQ para comandos específicos.
  • El comando 9 realiza capturas de pantalla.
  • El comando 10 graba la pantalla.
  • El comando 12 inicia el limpiador de unidades de Windows de múltiples pasadas.
  • El comando 15 recopila información del sistema.
  • El comando 19 borra los registros de eventos de Windows.
  • El comando 20 habilita el control remoto tipo VNC.

RabbitMQ y Redis admiten el control de atacantes

GigaWiper usa RabbitMQ sobre AMQP para recibir comandos de su servidor de comando y control. Utiliza Redis para enviar el estado y la salida del comando.

Una muestra analizada utilizó 185.182.193[.]21 en el puerto 5544 para RabbitMQ y la misma IP en el puerto 7542 para Redis. El malware descifra una configuración codificada que incluye credenciales y detalles de conexión.

La puerta trasera puede recibir tareas de transmisión a través de un intercambio de distribución llamado Todos. También puede vincularse a un intercambio de temas llamado Topic para comandos específicos, brindando a los operadores una forma de controlar muchos dispositivos infectados a la vez o concentrarse en sistemas específicos.

La persistencia se esconde detrás de los nombres de OneDrive

GigaWiper utiliza nombres familiares con temas de Microsoft para reducir las sospechas. Crea la clave de Registro HKCU\SOFTWARE\OneDrive\Environment para realizar un seguimiento del recuento de ejecuciones.

También crea una tarea programada llamada Actualización de OneDrive. La tarea se ejecuta al inicio y luego se vuelve a ejecutar cada minuto, lo que ayuda a que el implante permanezca activo después del reinicio o la finalización del proceso.

Ese nombre puede integrarse en entornos empresariales donde OneDrive ya es común. Los defensores aún deben investigar tareas programadas nuevas o inusuales utilizando nombres de productos de Microsoft, especialmente cuando la ruta del ejecutable no coincide con una ubicación legítima de Microsoft.

Indicadores de compromiso

Microsoft publicó hashes e indicadores de comando y control para GigaWiper y componentes relacionados. Los equipos de seguridad deben utilizar estos indicadores con la búsqueda basada en el comportamiento porque los operadores de limpieza pueden cambiar la infraestructura y archivar hashes rápidamente.

TipoIndicadorDescripción
SHA-256633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001Puerta trasera GigaWiper
SHA-256ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913Puerta trasera GigaWiper
SHA-256f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfdPuerta trasera GigaWiper
SHA-2569706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683Puerta trasera GigaWiper
SHA-2563c30deb6556a94cfb84ae51798f4aecfae8c7358e55fdb321c5f2376579631cdLimpiador independiente GigaWiper
SHA-256440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3en la cruz
SHA-25612c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721FlockWiper
SHA-256db41e0da7ab3305be8d9720769c6950b4dc1c1984ef857d3310eb873a0fc7674FlockWiper
dirección IP185.182.193[.]21Servidor de comando y control GigaWiper
dirección IP212.8.248[.]104Servidor de comando y control GigaWiper

Cómo deberían los defensores buscar GigaWiper

Los equipos de seguridad deben tratar la posible actividad de GigaWiper como un evento urgente de continuidad del negocio. El malware puede pasar rápidamente de la vigilancia a la destrucción una vez que los operadores emiten órdenes.

Las señales de búsqueda útiles incluyen la creación de tareas programadas sospechosas, claves de registro con temas de OneDrive en contextos inesperados, conexiones RabbitMQ o Redis a servidores externos desconocidos, salida de grabación de pantalla y uso repentino de comandos de administración de disco o borrado del registro de eventos.

Los equipos también deben buscar cifrado de archivos similar al ransomware seguido de extensiones .candy, archivos de recuperación faltantes, cambios inesperados en las reglas del firewall y comportamiento de control remoto similar al VNC.

  1. Busque el nombre de la tarea programada OneDrive Update en terminales y servidores.
  2. Revise HKCU\SOFTWARE\OneDrive\Environment para ver si hay seguimiento de ejecuciones sospechosas.
  3. Bloquee o investigue el tráfico saliente a direcciones IP conocidas de GigaWiper C2.
  4. Busque comunicación RabbitMQ y Redis desde puntos finales que no deberían utilizarlos.
  5. Investigue la actividad de wevtutil que borra los registros de eventos de Windows.
  6. Revise la eliminación inesperada de archivos de arranque, kernel y recuperación.
  7. Busque extensiones de archivos .candy y cambios en el fondo de pantalla vinculados a archivos binarios sospechosos.
  8. Busque nuevas reglas de firewall que se hagan pasar por componentes legítimos de Windows.

Pasos de mitigación para entornos Windows

Microsoft recomienda habilitar en todo el inquilinoprotección contra manipulacionespara evitar que los atacantes deshabiliten la configuración de seguridad o agreguen exclusiones de antivirus durante una intrusión.

Las organizaciones también deberían utilizarEDR en modo bloquepor lo tanto, Defender for Endpoint puede bloquear artefactos maliciosos encontrados mediante la detección de comportamiento, incluidos los casos en los que Microsoft Defender Antivirus se ejecuta en modo pasivo.

Microsoft también recomienda ejecutarinvestigaciones automatizadasen modo completamente automatizado para que las acciones de respuesta de los endpoints puedan comenzar rápidamente después de que se generen las alertas.

La planificación de copias de seguridad y recuperación es fundamental

GigaWiper muestra por qué las copias de seguridad fuera de línea, inmutables o protegidas de otro modo son esenciales. Un limpiador puede destruir tanto el sistema operativo como los datos locales, y el cifrado de ransomware falso puede no dejar ninguna opción de descifrado.

Las organizaciones deben probar los planes de recuperación en condiciones en las que los sistemas no pueden iniciarse, faltan registros y los servicios de red no están disponibles. Los procedimientos de recuperación deben incluir restauración completa, reemplazo de hardware, recuperación limpia de credenciales y validación de que las copias de seguridad no se modificaron antes del borrado.

Los equipos de seguridad también deben separar la infraestructura de respaldo del acceso normal al dominio siempre que sea posible. Si los atacantes pueden utilizar credenciales de administrador robadas para acceder a las copias de seguridad, la recuperación puede fallar durante la etapa más dañina de un incidente.

Por qué GigaWiper aumenta el nivel de riesgo

GigaWiper ofrece a los atacantes un menú de opciones. Pueden observar un sistema, ejecutar comandos, recopilar datos, grabar pantallas, manipular servicios y entradas del Registro y luego activar comandos destructivos cuando deciden que es el momento adecuado.

Este diseño desdibuja la línea entre malware de espionaje y malware destructivo. Permite un acceso silencioso primero y luego un impacto rápido.

Los defensores deberían combinar la detección con la resiliencia. Elguía de protección contra manipulaciones,EDR en guía en modo bloque, yguía de investigación automatizadaTodos respaldan una prevención y una respuesta más rápidas, pero las organizaciones también necesitan copias de seguridad probadas y guías de recuperación practicadas.

Preguntas frecuentes

¿Qué es el malware GigaWiper?

GigaWiper es una puerta trasera destructiva de Windows rastreada por Microsoft. Combina capacidades de control remoto con limpieza de disco, cifrado de archivos irrecuperables tipo ransomware, limpieza de registros de eventos, sabotaje del sistema y otros comandos.

¿Es GigaWiper ransomware?

GigaWiper incluye un comportamiento similar al ransomware, pero Microsoft lo describe como una puerta trasera y un limpiador destructivo. Su rutina de cifrado de archivos no guarda la clave ni deja una nota de rescate, por lo que las víctimas no tienen una ruta de descifrado normal.

¿Qué significa la extensión .candy?

La extensión .candy es utilizada por el componente ransomware falso de GigaWiper después de cifrar archivos. Debido a que la clave de cifrado y el IV no se guardan, esos archivos deben tratarse como irrecuperables a menos que existan copias de seguridad limpias.

¿Cómo mantiene GigaWiper la persistencia?

GigaWiper crea la clave de Registro HKCU\SOFTWARE\OneDrive\Environment y una tarea programada llamada OneDrive Update. La tarea se ejecuta al inicio y luego cada minuto, lo que ayuda a que la puerta trasera permanezca activa.

¿Cómo pueden las organizaciones defenderse de GigaWiper?

Las organizaciones deben aislar los hosts sospechosos, bloquear la infraestructura C2 conocida, habilitar la protección contra manipulaciones, usar EDR en modo de bloqueo, permitir la investigación y corrección automatizadas, monitorear las tareas programadas y los cambios en el Registro, y mantener copias de seguridad fuera de línea protegidas.