GigaWiper: nuevo malware en Windows que puede destruir tus datos

Publicado el

GigaWiper: Un malware devastador para Windows

Recientemente, Microsoft ha alertado sobre GigaWiper, un malware modular desarrollado en Golang que se ha observado en múltiples intrusiones desde octubre de 2025. Este software malicioso no es solo un simple borrador de datos, sino una plataforma operativa que combina acceso remoto, control de comando y control (C2) y capacidades de destrucción de datos en un único paquete.

Características de GigaWiper

GigaWiper destaca por integrar herramientas que anteriormente funcionaban de manera independiente, como el ransomware Crucio y el borrador de discos FlockWiper, en un marco unificado. Este malware no solo puede eliminar datos, sino que también incluye características de espionaje, como la captura de pantalla y el control remoto al estilo VNC.

Entre sus capacidades, GigaWiper implementa alrededor de 20 comandos, divididos en tres categorías principales: destrucción de datos, acceso/monitoreo remoto y gestión del sistema. Algunos ejemplos de estas funcionalidades son: - Borrador de discos en bruto: sobrescribe el contenido del disco antes de forzar un reinicio inmediato. - Borrador de ransomware falso: actúa como ransomware pero, en lugar de solicitar un pago, cifra los archivos y elimina la clave de cifrado, imposibilitando su recuperación. - Borrador seguro de unidades de Windows: dirige su ataque a la unidad de instalación de Windows mediante sobrescrituras múltiples con diferentes patrones de bytes. - Captura y grabación de pantalla: puede tomar capturas instantáneas de cada monitor y grabar continuamente mientras el usuario está activo. - Control remoto: establece un servidor TCP que transmite el escritorio y permite la entrada de teclado y ratón, creando excepciones en el firewall de Windows.

Además, GigaWiper programa una tarea denominada "OneDrive Update" que se ejecuta cada minuto y al inicio, garantizando su persistencia en el sistema.

Cómo protegerse

Dado que GigaWiper se despliega después de que los atacantes han comprometido un sistema, la mejor defensa radica en prevenir la intrusión inicial y detectar actividades maliciosas antes de que se ejecuten los comandos destructivos. Malwarebytes identifica componentes de GigaWiper bajo los nombres de detección Trojan.FlockWiper y Backdoor.GigaWiper.

Si se detecta GigaWiper, es crucial desconectar inmediatamente el equipo afectado de la red para evitar que los atacantes inicien comandos destructivos. Además, se recomienda habilitar la protección contra manipulaciones en el software de seguridad para que los administradores locales y el malware no puedan desactivar silenciosamente las herramientas de seguridad.

Es fundamental vigilar las conexiones a los servidores C2 conocidos, la creación de la tarea programada "OneDrive Update" y cualquier intento no autorizado de desactivar la recuperación de Windows. También se aconseja rotar credenciales, especialmente para cuentas que puedan haber sido comprometidas, y revisar los registros en busca de escalaciones de privilegios o movimientos laterales, para determinar si otros sistemas también han sido afectados.

En conclusión, los riesgos de ciberseguridad deben ser tomados en serio para evitar que se conviertan en una realidad devastadora. Mantener los dispositivos protegidos es esencial para evitar amenazas como GigaWiper.

Fuente

Ver noticia original