Nieuwe GigaWiper Windows Backdoor-bundels Schijf wissen, valse ransomware en spyware

Microsoft heeft een destructieve Windows-achterdeur uit elkaar gehaald GigaWiper. Wat opvalt is de manier waarop het is gebouwd: niet één tool, maar drie oudere destructieve programma’s in één, aangeboden als commando’s waaruit de operator kan kiezen.

Elk is een andere manier om een ​​machine kapot te maken: de hele schijf wissen, de Windows-schijf overschrijven of nep-ransomware uitvoeren die bestanden versleutelt met een sleutel die hij nooit opslaat.

Omdat dit malware is en geen enkele fout, is er geen patch om op te jagen; GigaWiper is wat een aanvaller uitvoert nadat hij al binnen is, waardoor vroege detectie en schone, offline back-ups de echte verdediging zijn.

Dezelfde kwaadaardige bestanden verschijnen in een tweede rapport onder een andere naam: BLAUW KONIJNeen achterdeur Binaire Defensie die vorige maand werd gemarkeerd.

Microsoft somt vier hashes op voor de GigaWiper-achterdeur; Binary Defense vermeldt dezelfde vier voor BLUERABBIT, en beide commandoservers komen overeen. Binary Defense, onder verwijzing naar de Threat Intelligence Group van Google, koppelt de malware aan een waarschijnlijke Iran-nexusgroep gericht op Israëlische organisaties. Microsoft noemt geen land.

Drie manieren om een ​​machine te vernietigen

GigaWiper is geschreven in Go (ook wel Golang genoemd) en draait op Windows. Het neemt orders op als genummerde commando’s, en drie daarvan vernietigen de machine, elk op een andere manier:

  • Een onbewerkte schijfwisser die de fysieke schijf overschrijft en de partitietabel (de kaart van hoe de schijf is ingedeeld) wist voordat hij opnieuw opstart. Er is geen verwijdering per bestand mogelijk die ongedaan kan worden gemaakt; het vernietigt de schijfinhoud direct.
  • Valse ransomware gebouwd op oudere code genaamd Crucio. Het codeert bestanden, voegt een .candy-extensie toe en verandert de bureaubladachtergrond in een alarmerend waarschuwingsbeeld. Er is geen losgeldbriefje en geen opgeslagen sleutel, dus u hoeft niets te betalen en niets te decoderen. Dit is vernietiging in een ransomware-kostuum.
  • De laatste richt zich op de Windows-schijf en overschrijft deze meerdere keren met verschillende gegevenspatronen. Microsoft zegt dat het een Go-herschrijving is van een wisser die hij volgt FlockWiper.

Geen van deze laat een weg terug: gecodeerde bestanden kunnen niet worden ontgrendeld omdat de sleutel weg is, en gewiste schijven kunnen alleen opnieuw worden opgebouwd vanaf schone back-ups. Het doel is een dode machine, geen uitbetaling.

Het spioneert ook

Vernietiging is slechts de helft ervan. Dezelfde achterdeur kan stilletjes een geïnfecteerde pc in de gaten houden en besturen. Het maakt screenshots van elke monitor, neemt het scherm op terwijl iemand aan het werk is, en kan een verborgen VNC-sessie openen die het scherm streamt en de aanvaller laat typen en de muis laat bewegen.

Het verzamelt ook systeemgegevens, beheert actieve programma’s en services, bewerkt het register en kan Windows-gebeurtenislogboeken wissen om de sporen ervan uit te wissen. Microsoft ontdekte dat er in de onderzochte monsters nog meer commando’s sluimerden, waaronder stubs voor een keylogger en extra ruitenwissers.

Om uit het zicht te blijven doet GigaWiper zich voor als OneDrive. Er wordt een geplande taak gemaakt met de naam OneDrive Update die elke minuut wordt uitgevoerd en zichzelf bijhoudt in een registersleutel onder HKCUSOFTWAREOneDriveEnvironment. Wanneer het zijn afstandsbedieningskanaal opent, verschuilt het zich achter een firewallregel die is vernoemd naar een echte Windows-component, Microsoft.Windows.CloudExperienceHost.

Voor zijn commandoverkeer slaat het gewone webverzoeken over en gebruikt het in plaats daarvan echte zakelijke services: RabbitMQ voor taken, Redis voor resultaten en MinIO voor exfiltratie. Omdat dit legitieme tools zijn en geen aangepast malwarekanaal, ziet het verkeer er gewoon uit op netwerken waarop ze al draaien.

Waar GigaWiper vandaan kwam

Microsoft traceert de nep-ransomwarecode van GigaWiper terug naar Crucio en de multi-pass wiper terug naar FlockWiper, en stelt vast dat dezelfde ontwikkelaar ze alle drie heeft gebouwd. Er wordt geen land genoemd. Maar Crucio is niet anoniem. De code werd vermeld als vermoedelijke ransomware in een CISA-advies van december 2023 over CyberAv3ngers, een groep die banden heeft met de Iraanse Islamitische Revolutionaire Garde.

Dat is dezelfde ploeg, zo meldde THN, die in 2023 inbrak in water- en energielocaties in de VS, Israël, Groot-Brittannië en Ierland, en inlogde op aan internet blootgestelde industriële controllers. In één geval namen ze de controle over een boosterstation bij een waterleidingbedrijf in Pennsylvania. Het Crucio-monster dat Microsoft aanhaalt, bevat dezelfde vingerafdruk als vermeld in dat advies.

Microsoft vond ook een terugkerende tag, “GRAT”, in zowel de debug-paden van FlockWiper als in de eigen functienamen van GigaWiper, waardoor de twee tools met elkaar werden verbonden en werd verwezen naar een ander onderdeel dat nog niet is opgedoken. De timing verschilt per bron: Microsoft dateert de destructieve activiteit tot oktober 2025, terwijl Binary Defense voor het eerst dezelfde bestanden zag als BLUERABBIT in maart 2026.

Onderdeel van een grotere golf

Aan Iran gekoppelde ruitenwisseractiviteiten tegen Israël hebben in 2025 en 2026 herhaaldelijk waarschuwingen opgeleverd. Unit 42 van Palo Alto Networks heeft een parallelle golf gevolgd, grotendeels afkomstig van een aparte groep, Handala Hack, en in maart 2026 waarschuwde Israëls Nationale Cyberdirectoraat voor Iraanse ruitenwisseraanvallen op lokale organisaties.

De tactiek die GigaWiper gebruikt is oud: NotPetya deed zich in 2017 ook voor als ransomware terwijl hij stilletjes gegevens vernietigde. Deze vermomming levert de aanvaller tijd op: een kapotte machine ziet er in eerste instantie uit als een ransomware-geval waar iemand misschien van kan herstellen, en niet als een totaal verlies.

Microsoft beschouwt GigaWiper als operators die afzonderlijke tools samenvouwen tot één flexibel platform. Voor verdedigers is de consequentie concreet: wanneer een enkel implantaat kan toekijken, stelen of vernietigen, onthult het instrument niet langer het doel. Vroeger las je de bedoeling af van de malware die je vond; hier beslist de operator nadat ze al binnen zijn.

Eén platform, twee namen van leveranciers en sluimerende opdrachtentabs die zich nog in de code bevinden, wijzen erop dat een tool nog in ontwikkeling is.

Wat verdedigers moeten doen

Om het snel te herkennen, komt het neer op een paar specifieke signalen:

  • Een geplande taak voor OneDrive Update die elke minuut wordt herhaald.
  • RabbitMQ- of Redis-verkeer vanaf gewone desktops in plaats van servers.
  • Processen die gebruik maken van takeown en icacls om eigenaar te worden van Windows-opstartbestanden zoals bootmgr en ntoskrnl.exe buiten onderhoudsvensters.

Aan de productkant raadt Microsoft aan om de sabotagebeveiliging in te schakelen, zodat aanvallers uw antivirusprogramma niet kunnen uitschakelen, de twee bekende opdrachtservers (185.182.193(.)21 en 212.8.248(.)104) kunnen blokkeren, de eindpuntdetectie in de blokkeermodus kunnen uitvoeren en door de cloud geleverde bescherming en automatisch herstel mogelijk kunnen maken. De volledige lijst met bestandshashes, serveradressen en detectienamen staat in het rapport van Microsoft.

The Hacker News heeft contact opgenomen met Microsoft en Binary Defense voor bevestiging dat GigaWiper en BLUERABBIT dezelfde malware zijn, en voor details over de omvang en attributie van het slachtoffer, en zal dit verhaal bijwerken bij elk antwoord.

Thijs Van der Does