Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!

Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!

Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej

GigaWiper: wiper, stealer, ransomware w jednym. Szczegółowa analiza malware

17 lipca 2026, 13:47 | Aktualności | 0 komentarzy

Badacze bezpieczeństwa z Microsoft Threat Intelligence przeprowadzili analizę zaawansowanej kampanii, w której cyberprzestępcy wykorzystali rodzinę złośliwego oprogramowania o nazwie GigaWiper. Jak sama nazwa wskazuje, malware należy do kategorii wiperów, których głównym zadaniem jest bezpowrotne niszczenie danych na zainfekowanej maszynie. Działania te są realizowane poprzez usuwanie metadanych partycji dysków, szyfrowanie danych z losowym kluczem (nigdzie nie zapisywanym) oraz nadpisywanie sektorów na dysku losowymi bajtami. 

TLDR:

  • Badacze z Microsoft przeprowadzili analizę kampanii, w której atakujący wykorzystali złośliwe oprogramowanie o nazwie GigaWiper.
  • Nie zostało dokładnie przedstawione, w jaki sposób dochodziło do infekcji.
  • Malware oprócz niszczenia danych zapewnia cyberprzestępcom stały dostęp do infrastruktury celu (backdoor). Umożliwia szyfrowanie danych oraz wymuszanie okupu (ransomware). Pozwala na wykonanie dowolnego polecenia w środowisku użytkownika (RAT/stealer).
  • Microsoft zaleca włączenie funkcji Tamper Protection oraz wdrożenie systemów EDR.

Z drugiej strony, złośliwe oprogramowanie nosi znamiona backdoora, czyli narzędzia umożliwiającego atakującym stały, zdalny dostęp do zainfekowanego systemu. Dzięki niemu cyberprzestępcy mają możliwość monitorowania aktywności użytkownika oraz zdalnego zarządzania malware, poprzez wysyłanie odpowiednich komend sterujących.

GigaWiper skupił uwagę analityków, głównie z uwagi na swoją strukturę. Analiza pokazała, że nie jest to pojedyncze, celowo zaprojektowane narzędzie, tylko zlepek różnych wariantów złośliwego oprogramowania (znanych z poprzednich kampanii). W jego architekturze można odnaleźć elementy:

  • ransomware Crucio – szyfrowanie plików za pomocą algorytmu AES w trybie CBC z losowo wygenerowanym kluczem, który nie jest nigdzie zapisywany/przesyłany. Taki sposób modyfikacji danych uniemożliwia ich odzyskanie. Zaszyfrowane pliki otrzymują rozszerzenie .candy.
  • logiki FlockWipera – narzędzie początkowo zaimplementowane w języku C, przepisane na nowo na Golang (Go) umożliwiające wieloprzebiegowe, bezpieczne usuwanie danych na dysku systemowym. Coś na zasadzie linuksowego polecenia shred z kilkoma przebiegami.
  • samodzielny wiper – kompaktowy komponent niszczący, który działa na poziomie dysków fizycznych. Odpowiada za usuwanie metadanych partycji oraz nadpisywanie sektorów.

Biorąc pod uwagę unikanie technik wykrycia, zastosowane mechanizmy są ściśle powiązane z tymi, które widzieliśmy przy okazji analizy HermeticWiper, CaddyWiper oraz ransomware BlackCat (ALPHV). Co ciekawe, badacze zidentyfikowali w kodzie artefakty (ścieżki PDB) odwołujące się bezpośrednio do nazwy GRAT. Może to świadczyć, że narzędzia te zostały zaimplementowane przez ten sam zespół deweloperski lub powstały wewnątrz jednego frameworka.

Badacze nie wskazali w jaki sposób malware dostaje się do środowiska użytkownika. Skupili się przede wszystkim na tym, co się dzieje w systemie po uruchomieniu złośliwego oprogramowania.

Wiper

W pierwszej fazie następuje skanowanie dysków za pomocą WMI (Windows Management Instrumentation). 

Enumeracja dysków za pomocą WMI. Źródło: microsoft.com

W ten sposób zostaną zwrócone identyfikatory urządzeń oraz metadane dysków. Dane te są wykorzystywane m.in. do ustalenia miejsca instalacji systemu operacyjnego (najczęściej jest to \\.\PHYSICALDRIVE0). Kolejnym krokiem jest usunięcie struktur partycji z pozostałych dysków (funkcja main.unallocateDrive) oraz rozpoczęcie procedury wymazywania ich zawartości (main.writeRandToDrive). Warto dodać, że malware losuje za pomocą funkcji crypto/rand.Read pierwszy bajt każdego bufora, a pozostałą część wypełnia bajtami 0x00. Działanie to ma na celu unikanie wykrycia przez mechanizmy obronne, które w czasie rzeczywistym monitorują operacje na dysku i w przypadku wykrycia standardowego zerowania nośnika (bajt po bajcie) mogą zaalarmować o anomalii. 

Po wyczyszczeniu dysków niezawierających systemu następuje ponowne uruchomienie komputera. Z racji tego, że metadane pozostałych dysków zostały usunięte, a system został zamknięty brutalnie, komputer nie wystartuje prawidłowo. Może pojawić się komunikat o braku systemu operacyjnego lub o uszkodzeniu sektora rozruchowego. Niemniej jednak, dane zapisane na dysku systemowym w tej konkretnej sytuacji nie zostały nadpisane ani usunięte. Poprzez odtworzenie partycji rozruchowej lub podpięcie dysku do innego komputera istnieje możliwość przywrócenia dostępu do danych.

Funkcje realizowane przez malware (wiper, backdoor). Źródło: microsoft.com

Backdoor

Dalsza analiza kodu wykazała, że złośliwe oprogramowanie posiada szereg funkcji przypominających backdoora. Podszywa się pod legalną aplikację OneDrive, tworząc w Harmonogramie zadań nowe zadanie o nazwie OneDrive Update. W efekcie złośliwy kod uruchamia się co minutę oraz przy każdym starcie systemu, zgłaszając gotowość do działania i oczekując na komendy z serwera C2 (Command & Control). Komunikacja z infrastrukturą atakującego odbywa się za pośrednictwem protokołów RabbitMQ oraz Redis

Ponadto, malware wykorzystuje klucz rejestru HKCU\SOFTWARE\OneDrive\Environment do monitorowania liczby swoich uruchomień. Jeśli klucz nie zostanie wykryty w systemie, GigaWiper uznaje, że został uruchomiony po raz pierwszy, a następnie tworzy go i inicjuje wartością 0. Przy każdym kolejnym uruchomieniu zadania wartość klucza zostaje inkrementowana o jeden. Zabieg ten ma na celu zamaskowanie obecności złośliwego oprogramowania w systemie.

Funkcje tworząca nowe zadanie w Harmonogramie zadań (persistence). Źródło: microsoft.com

Komendy realizowane przez malware

Badacze dosyć szczegółowo przeanalizowali komendy przesyłane za pośrednictwem serwera C2. Ustalili, że każda z nich złożona jest z trzech parametrów: task_id, command_code oraz args. W efekcie udało im się zidentyfikować 20 unikalnych poleceń, wśród których najbardziej destrukcyjne z nich umożliwiają całkowite uszkodzenie systemu, zaszyfrowanie danych oraz umieszczenie notatki z żądaniem okupu. Na szczególną uwagę zasługują następujące komendy:

  • polecenie nr 2 – uruchomienie procedury powodującej wyświetlenie tzw. niebieskiego ekranu śmierci (BSOD). Przed jego wyświetleniem malware blokuje mechanizmy odzyskiwania systemu (Windows Recovery Environment) oraz usuwa pliki rozruchowe,
  • polecenie nr 3 – malware rozpoczyna proces szyfrowania danych na wzór oprogramowania typu ransomware. Szyfruje pliki za pomocą algorytmu szyfrującego AES, nadaje plikom wynikowym rozszerzenie .candy oraz zmienia tapetę na pulpicie. W ten sposób sygnalizuje użytkownikowi, że padł ofiarą ataku. Warto dodać, że parametry algorytmu AES (wektor IV, klucz szyfrujący) nie zostają zapisane, a co za tym idzie odzyskanie danych w sensownym czasie staje się nierealne.
Przykładowa tapeta umieszczona na pulpicie po zakończeniu procesu szyfrowania danych. Źródło: microsoft.com
  • polecenie nr 5 – szyfrowanie danych za pomocą algorytmu AES z wykorzystaniem parametrów kryptograficznych (key, IV) przesłanych w komendzie sterującej.
  • polecenie nr 4 – eksfiltracja zaszyfrowanych danych za pomocą klienta pamięci masowej MinIO (mc.exe).

Pozostałe polecenia noszą znamiona oprogramowania typu stealer/RAT. Umożliwiają m.in. rejestrowanie uderzeń klawiatury, wykonywanie zrzutów ekranu oraz nagrań w czasie rzeczywistym, zdalne sterowanie systemem, czyszczenie dzienników zdarzeń (Event Logs) w celu zatarcia śladów, a także wykonywanie dowolnych poleceń, zleconych przez atakującego.

Obrona przed tego typu zagrożeniem polega przede wszystkim na wdrożenie wielowarstwowej strategii. Microsoft rekomenduje włączenie funkcji Tamper Protection, która chroni kluczowe ustawienia systemu oraz oprogramowanie antywirusowe przed próbami ich wyłączenia lub zmodyfikowania. Ponadto, zalecane jest wdrożenie systemów EDR oraz monitorowanie Harmonogramu zadań i rejestru.

IoC

WskaźnikTypOpis
633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001SHA-256GigaWiper backdoor
ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913SHA-256GigaWiper backdoor
f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfdSHA-256GigaWiper backdoor
9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683SHA-256GigaWiper backdoor
3c30deb6556a94cfb84ae51798f4aecfae8c7358e55fdb321c5f2376579631cdSHA-256GigaWiper Wiper
440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3SHA-256Crucio
12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721SHA-256FlockWiper
db41e0da7ab3305be8d9720769c6950b4dc1c1984ef857d3310eb873a0fc7674SHA-256FlockWiper
185.182.193[.]21IP addressGigaWiper C2
212.8.248[.]104IP addressGigaWiper C2

IoC. Źródło: microsoft.com

Źródło: microsoft.com

~_secmike

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz