GigaWiper: модульный бэкдор-стиратель с C2 и шифрованием
GigaWiper: кибероружие, собранное из осколков
В октябре 2025 года эксперты Microsoft Threat Intelligence раскрыли новую изощренную угрозу — GigaWiper. Это сложное деструктивное malware, написанное на языке Go (Golang), функционирует одновременно как backdoor и набор инструментов для полного уничтожения данных. GigaWiper — не единый инструмент, а композит из различных семейств malware, что дает атакующим беспрецедентную гибкость.
Двойная природа: wipers и backdoor
GigaWiper представлен двумя основными типами образцов:
- Автономные wipers — работают на физическом уровне диска, перезаписывая сырое содержимое и удаляя метаданные разделов. Для идентификации целевых дисков используется Windows Management Instrumentation (WMI).
- Многофункциональный backdoor — сохраняет возможности wiping, но дополнительно реализует механизмы закрепления и скрытой связи через RabbitMQ и Redis. Именно этот компонент превращает вредоносную программу в универсальный управляющий центр.
Технические детали: RabbitMQ, C2 и невозвратное шифрование
Backdoor-компонент GigaWiper обеспечивает закрепление через записи в реестре Windows и запланированную задачу для регулярного запуска. Связь с сервером командования (C2) устанавливается с помощью RabbitMQ: команды передаются через обменник fanout, а результаты пересылаются через Redis. Такой подход затрудняет анализ трафика и позволяет оперативно переключаться между режимами шпионажа и разрушения.
Особого внимания заслуживает функция шифрования файлов. GigaWiper генерирует случайные ключи, которые не сохраняются, — расшифровка невозможна. Это поведение в точности имитирует тактику ransomware, но сам GigaWiper не содержит требований выкупа и не предоставляет способов восстановления. Фактически злоумышленники целенаправленно уничтожают данные под видом шифровальщика.
Модульная архитектура: наследие Crucio и FlockWiper
Анализ выявил, что одна из реализаций шифрования базируется на ранее известном ransomware Crucio. Кроме того, в GigaWiper встроены возможности wiping, заимствованные у вредоносной программы FlockWiper. Это свидетельствует о том, что за всеми тремя семействами стоит, вероятно, один и тот же злоумышленник или группа, которая строит новое оружие, переиспользуя проверенные модули старого кода. Модульный подход ускоряет разработку и снижает порог детектирования сигнатур.
Стратегическая эффективность как угроза
Дизайн GigaWiper отражает продуманную стратегию: максимизация разрушительного воздействия при минимизации усилий на обнаружение и восстановление. Объединяя независимые семейства malware в гибридную угрозу, злоумышленники поднимают планку сложности для защитных решений и групп реагирования. Появление подобного инструментария знаменует новый этап в эволюции деструктивных кибератак, где гибкость управления и модульная архитектура становятся стандартом.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



