Microsoft ha da poco pubblicato una ricerca che spiega tutto circa un nuovo malware Windows in grado di prendere il controllo completo del tuo computer e cancellarne tutti i dati. L’oggetto della preoccupazione di tutti gli esperti di sicurezza informatica è GigaWiper, una backdoor modulare in Golang per Windows che combina l’accesso remoto con molteplici metodi in grado di distruggere sistemi e dati in modo permanente.
“GigaWiper si distingue in particolare per la sua composizione. Non si tratta di un singolo strumento progettato specificamente per questo scopo, ma di un’amalgama di diverse famiglie di malware integrate in GigaWiper come comandi backdoor eseguibili su richiesta, offrendo agli autori delle minacce la flessibilità di scegliere la modalità di distruzione più adatta“, si legge nella ricerca. Può trasformarsi quindi in un:
- programma autonomo per la cancellazione sicura dei dati che opera a livello del disco fisico, sovrascrivendo il contenuto grezzo del disco e rimuovendo i metadati delle partizioni;
- comando distruttivo derivato dal ransomware Crucio che crittografa i file con chiavi generate casualmente che non vengono mai salvate, rendendo impossibile la decrittazione;
- comando di cancellazione che reimplementa la logica di FlockWiper, un malware basato su C reimplementato in Golang con l’aggiunta di una cancellazione sicura multi-pass.
Gli indicatori di compromissione del nuovo malware Windows
Vediamo quindi gli indicatori di compromissione del nuovo malware Windows GigaWiper pubblicati da Microsoft all’interno della ricerca.
- 633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001 – GigaWiper backdoor
- ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913 – GigaWiper backdoor
- f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfd – GigaWiper backdoor
- 9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683 – GigaWiper backdoor
- 3c30deb6556a94cfb84ae51798f4aecfae8c7358e55fdb321c5f2376579631cd – GigaWiper standalone wiper
- 440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3 – Crucio
- 12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721 – FlockWiper
- db41e0da7ab3305be8d9720769c6950b4dc1c1984ef857d3310eb873a0fc7674 – FlockWiper
- 185.182.193[.]21 – GigaWiper C2
- 212.8.248[.]104 – GigaWiper C2
Come difendersi e rimanere al sicuro
Gli esperti di Malwarebytes hanno redatto un vedemecum di consigli che permettono a chiunque di difendersi e rimanere al sicuro dal malware Windows GigaWiper. Come hanno precisato i ricercatori, questo malware viene installato dopo che gli aggressori hanno già compromesso il sistema. Quindi per proteggersi è necessario prevenire l’intrusione iniziale e rilevare l’attività dannosa prima che esegua i comandi distruttivi.
Di contro, se viene rilevato GigaWiper dal tuo computer disconnetti immediatamente il dispositivo dalla rete per impedire agli aggressori di avviare i comandi dannosi. Dovrai anche bloccare e monitorare le connessioni ai server C2 noti e i tentativi non autorizzati di disabilitare il ripristino di Windows.
Ricordati di aggiornare sempre il sistema operativo per ottenere qualsiasi correzione a eventuali vulnerabilità.