Microsoft предупредила пользователей о новом вирусе GigaWiper, стирающем файлы навсегда и не оставлящем ключей

изображение: grok
Аналитики Microsoft зафиксировали новое семейство вредоносного ПО под названием GigaWiper, в котором совмещены скрытое проникновение в корпоративные сети и полное уничтожение информации. Разработчики собрали в одном продукте функции бэкдора и разрушительной полезной нагрузки, что переводит подобные инструменты на новый технологический уровень. Угроза распространяется глобально и представляет прямую опасность для российских компаний, госструктур и частных пользователей.
После заражения GigaWiper закрепляется в системе через полноценный бэкдор с возможностями удаленного управления. Операторы получают канал для выполнения команд, подгрузки вспомогательных модулей и запуска механизмов зачистки в удобный момент. Такая архитектура позволяет злоумышленникам выжидать неделями или месяцами, собирая данные жертвы, а затем одним нажатием превратить рабочие станции и серверы в нерабочие болванки.
Отмечается, что случайные ключи шифрования нигде не сохраняются и не отправляются операторам, поэтому расшифровать данные невозможно даже при полном сотрудничестве атакующих
Расширенная сборка GigaWiper располагает несколькими способами вывода систем из строя. Первый работает как программа-вымогатель, шифруя файлы случайно сгенерированными ключами. От классического ransomware эту схему отличает одно решающее обстоятельство — ключи никуда не передаются и стираются сразу после операции. Восстановление данных исключено даже теоретически, поскольку жертва получает вымогательскую записку без реального механизма возврата файлов.
Технический разбор Microsoft Security, опубликованный девятого июля, показал, что GigaWiper собран из фрагментов минимум трех отдельных семейств вредоносов. Специалисты идентифицировали код программ-вымогателей Crucio и FlockWiper, а также третий компонент неустановленного происхождения. Такая сборная конструкция экономит злоумышленникам время на разработке и одновременно затрудняет атрибуцию.
Первое обнаружение произошло еще в октябре 2025 года. Тогда группа Microsoft Threat Intelligence расследовала серию инцидентов с уничтожением данных в скомпрометированных сетях. Пострадавшие организации не называются, но исследователи вычислили универсальный имплант, написанный на Go, объединяющий функциональность командного центра с несколькими деструктивными сценариями. Подобная архитектура характерна для государственных APT-групп, которые все активнее работают против российских целей — от промышленных предприятий до банков и медицинских учреждений.
В процессе анализа удалось выделить два основных варианта вредоноса:
- автономный модуль-вайпер весом около 3 мб, заточенный под быстрое уничтожение данных без лишней функциональности;
- полноценный бэкдор размером порядка 12 мб с встроенным C2-каналом и возможностью подгрузки дополнительных компонентов;
- вспомогательные сборки, комбинирующие функции первых двух и адаптированные под конкретные жертвы.
Новые сборки GigaWiper дают операторам выбор режима уничтожения. Первый компонент работает напрямую с физическими дисками, полностью переписывая содержимое и стирая служебные метаданные разделов, что делает восстановление через штатные утилиты невозможным. Второй заимствует механизм у Crucio и шифрует пользовательские файлы. Третий представляет собой переработанную на Go логику FlockWiper с многократным затиранием секторов по стандартам безопасного удаления информации.
Опасность для российских организаций подтверждается статистикой последних месяцев. По данным профильных исследовательских центров, число атак на инфраструктуру РФ с использованием вайперов выросло за 2025 год примерно на 40%. Основные цели злоумышленников:
- предприятия энергетического и промышленного сектора;
- банки, платежные системы и финансовые сервисы;
- операторы связи и облачные провайдеры;
- логистические компании и транспортные узлы;
- государственные информационные системы и региональные органы власти.
Уточняется, что модульная архитектура GigaWiper позволяет операторам собирать индивидуальные версии под конкретную жертву за считанные часы, подстраивая деструктивный функционал под инфраструктуру цели
Модульность бэкдора говорит о заметной эволюции wiper-класса. Раньше подобные программы писались под разовое применение и уничтожались вместе с данными жертвы. Сейчас операторы получают многоразовую платформу, поддерживающую скрытое присутствие, разведку, боковое перемещение и выбор способа финального удара. Экономия ресурсов на разработке позволяет злоумышленникам масштабировать кампании и одновременно атаковать десятки организаций.
Microsoft рекомендует нескольких защитных мер, снижающих риск компрометации:
- активировать защиту от несанкционированного изменения параметров безопасности на всех устройствах сети;
- блокировать соединения с известной инфраструктурой командных серверов по актуальным данным об угрозах;
- задействовать облачную защиту антивирусных решений для ускоренного обнаружения новых сборок;
- перевести Microsoft Defender for Endpoint в режим блокировки EDR при работе стороннего антивируса;
- включить автоматизированное расследование инцидентов и устранение последствий в Defender for Endpoint;
- применять правила Attack Surface Reduction, ограничивающие запуск подозрительных исполняемых файлов.
Российским компаниям стоит обратить внимание на комбинированный характер угрозы. Даже при отсутствии прямой доступности продуктов Microsoft на рынке РФ архитектурные приемы GigaWiper быстро перекочуют в другие семейства вредоносов, а разработчики отечественных средств защиты вынуждены будут учитывать модульную концепцию при обновлении сигнатур и поведенческих правил. Пользователям домашних устройств грозит побочный ущерб через цепочки поставок ПО и компрометацию сервисов, которыми они ежедневно пользуются.
Ранее сообщалось, что специалисты Okta обнаружили новую фишинговую кампанию, в которой злоумышленники используют поддельную процедуру регистрации Passkey для учётных записей Microsoft Entra. Пользователей убеждают, что они подключают дополнительную защиту, однако на самом деле к их аккаунту привязывается ключ доступа, контролируемый атакующими. После этого преступники получают возможность входить в Microsoft 365 напрямую, без использования пароля и дополнительных подтверждений личности.
Появление GigaWiper подтверждает опасения, которые аналитики CISOCLUB высказывали еще год назад при разборе гибридных атак на промышленные предприятия. Российским службам ИБ придется переходить от точечного противостояния отдельным семействам вредоносов к комплексной защите от модульных платформ, где вайпер, ransomware и бэкдор существуют внутри одного исполняемого файла. Отсутствие возможности расшифровки при поражении обесценивает классические переговоры с вымогателями и делает ставку на резервное копирование единственным реальным способом выживания.
Мы призываем корпоративные команды провести срочный аудит стратегий бэкапа, изолированного хранения и проверки восстановления, поскольку атаки такого класса не оставляют шансов на возврат данных техническими средствами. Отдельного внимания заслуживает вопрос атрибуции — модульная сборка из чужого кода становится удобным инструментом для операций под чужим флагом, и российским регуляторам придется учитывать это при формировании ответных мер.



