GigaWiper è il nome del nuovo malware individuato da Microsoft, un software malevolo che non si limita a spiare i dati ma può rendere del tutto inutilizzabile un intero sistema. A differenza di tante minacce già conosciute, questo combina più funzioni distruttive con una potente backdoor pensata per lasciare campo libero agli aggressori. I ricercatori di Microsoft Threat Intelligence avevano intercettato le prime attività già nell’ottobre 2025, e l’analisi pubblicata di recente mette in fila tutto quello che questo strumento è capace di fare. Non parliamo del solito wiper con un unico scopo. Qui la faccenda è parecchio più seria. Alcuni ricercatori, tra l’altro, stanno tracciando lo stesso codice sotto un altro nome, BlueRabbit.
Cosa rende GigaWiper così pericoloso
Uno degli aspetti più inquietanti riguarda la capacità di sovrascrivere i dischi a basso livello. Non cancella i singoli file come farebbe un malware qualunque, ma va a colpire direttamente i dischi fisici. In questo modo può eliminare le voci delle partizioni e sovrascrivere il contenuto dei supporti di archiviazione. Quando l’operazione distruttiva è terminata, il computer si riavvia e i dati che c’erano prima non sono più raggiungibili nel modo consueto.
C’è poi una funzione che si traveste da ransomware. GigaWiper cifra i file e aggiunge loro l’estensione .candy. Solo che non è un ricatto vero e proprio, perché le chiavi di decifratura vengono generate a caso e non salvate da nessuna parte. Tradotto: recuperare i dati diventa tecnicamente impossibile. Come se non bastasse, un’altra funzione sovrascrive più volte il disco di sistema di Windows con schemi diversi, così da rendere ancora più complicato qualsiasi tentativo di ripristino.
Molto più di un semplice distruttore di dati
Microsoft descrive GigaWiper anche come una backdoor attraverso cui gli attaccanti ottengono accesso permanente ai sistemi infetti. Tra le cose che riesce a fare ci sono catturare screenshot, registrare lo schermo, attivare il controllo remoto, raccogliere informazioni sul sistema, gestire processi e servizi di Windows, modificare il registro e cancellare i log degli eventi per non lasciare tracce. In pratica gli aggressori possono prima studiare la macchina o prenderne il controllo, e solo dopo far scattare la parte distruttiva.
Per restare il più a lungo possibile sui computer colpiti, il malware crea un’attività pianificata nel Task Scheduler di Windows. Il nome scelto è “OneDrive Update”, una dicitura che gira a intervalli regolari e che, se non si presta attenzione, è facilissima da ignorare. Per comunicare con i server di comando e controllo sfrutta invece RabbitMQ e Redis, servizi già presenti in molte reti aziendali, il che rende le connessioni più difficili da individuare.
Curioso anche il modo in cui è stato assemblato. Microsoft ha trovato al suo interno diversi componenti di malware più vecchi. Alcune funzioni arrivano da Crucio, un ceppo di ransomware già analizzato in passato, mentre un altro pezzo si basa su FlockWiper, un vecchio wiper. Tutto questo è stato incastrato in una nuova backdoor scritta nel linguaggio Go, che lascia agli aggressori la libertà di scegliere se prendere il controllo, manipolare i dati oppure distruggere tutto.
Chi rischia davvero
Stando a quanto emerge finora, GigaWiper viene usato soprattutto in attacchi mirati contro organizzazioni e aziende. Non ci sono al momento segnali di una diffusione ampia tra gli utenti domestici di Windows. Il meccanismo prevede prima l’accesso a un sistema, che poi finisce sotto il controllo di chi attacca.
Per chi usa il PC a casa restano valide le regole di sempre. Windows e il software di sicurezza vanno tenuti aggiornati, e allegati o app non richieste non si aprono mai. Alle aziende Microsoft consiglia invece di attivare protezioni come la tamper protection per i software di sicurezza, adottare sistemi moderni di rilevamento e tenere d’occhio attività sospette, tipo compiti insoliti nel Task Scheduler o connessioni di rete impreviste.
Contano molto anche i backup regolari, che vanno però conservati in un luogo separato dal computer. Solo una copia indipendente dei dati può servire davvero al recupero in caso di un attacco wiper reale.