Em 9 de julho de 2026, a Microsoft Threat Intelligence publicou a análise técnica de um backdoor que já rodava havia nove meses dentro de ambientes comprometidos quando foi documentado publicamente. Ele tira print da tela, grava vídeo do que o usuário está fazendo, lê o registro do Windows, apaga logs de evento e, quando o operador decide que já colheu o que precisava, escolhe entre três formas diferentes de destruir o sistema, uma delas disfarçada de ransomware. A Microsoft batizou essa ameaça de GigaWiper.

A atividade começou a ser rastreada em outubro de 2025, mas levou meses para virar peça pública porque o malware não se encaixava numa categoria isolada. Tinha traço de ransomware, arquivos criptografados, extensão nova, papel de parede trocado, mas sem nota de resgate e sem chave guardada em lugar nenhum. Tinha traço de wiper, discos sobrescritos, partições apagadas, mas vinha acompanhado de meses de espionagem silenciosa antes de qualquer decisão de destruir. Este artigo detalha como o GigaWiper foi montado, o que cada um dos vinte comandos numerados do backdoor faz, e o que muda na estratégia de defesa quando a mesma ferramenta pode espionar, sabotar ou fingir cobrar resgate, dependendo só de qual comando o atacante decide enviar.

O Que é o GigaWiper?

GigaWiper é um backdoor modular escrito em Golang, identificado pela Microsoft Threat Intelligence em ambientes que sofreram atividade destrutiva a partir de outubro de 2025. Ele dá ao operador controle remoto completo sobre a máquina infectada e concentra, num único implante, capacidades que normalmente aparecem espalhadas em ferramentas separadas: coleta de informação, acesso remoto no estilo RAT (Remote Access Trojan) e múltiplos mecanismos de destruição, acionados sob demanda, um por vez, conforme o comando recebido do servidor de comando e controle.

Por que ele não é apenas um wiper

Um wiper tradicional entra, destrói e sai, o objetivo é só esse. O GigaWiper inverte a lógica: destruir é uma opção entre vinte comandos disponíveis, não o motivo da intrusão. Antes de qualquer comando destrutivo ser enviado, o operador pode tirar screenshots, gravar a tela, coletar um inventário completo do sistema, controlar processos e serviços do Windows, navegar pelo registro numa sessão praticamente interativa, e assumir o mouse e o teclado da máquina remotamente através de um canal parecido com VNC. Só depois de explorar o ambiente com calma é que a destruição, se vier, é decidida e acionada.

Como o GigaWiper Foi Construído?

A característica mais reveladora do GigaWiper está em como foi montado, não só no que ele faz. A Microsoft encontrou dentro do binário código reaproveitado de pelo menos três famílias de malware que, até então, eram tratadas como ameaças completamente separadas.

A costura de três famílias de malware

O comando 1 replica, quase função por função, um wiper standalone que sobrescreve discos físicos em nível bruto. O comando 3 é baseado no ransomware Crucio: a própria função que executa a criptografia, BigBangExtortMain, carrega o mesmo nome usado no Crucio, documentado numa advisory da CISA publicada em dezembro de 2023 sobre atores ligados ao IRGC que exploravam controladores lógicos programáveis (PLCs) em múltiplos setores. O comando 12 reimplementa em Go a lógica de um wiper que a Microsoft rastreia como FlockWiper, escrito originalmente em C e enviado ao VirusTotal pela primeira vez em junho de 2025, meses antes de o GigaWiper aparecer nas primeiras intrusões observadas. Os pesquisadores também encontraram a string “GRAT” repetida tanto nos caminhos de debug do FlockWiper quanto em nomes de função do próprio GigaWiper, indício de que existe um quarto componente relacionado ainda não recuperado.

Quem está por trás do ataque

Isso continua sendo uma pergunta em aberto, pelo menos oficialmente. A publicação da Microsoft não atribui o GigaWiper a nenhum país ou grupo específico. Já o Google Threat Intelligence Group e a Binary Defense, que rastreiam a mesma ameaça sob o nome BLUERABBIT desde março de 2026, associam a atividade a um cluster provavelmente ligado ao Irã, com alvos confirmados em organizações israelenses. As duas pesquisas batem nos quatro hashes de arquivo e nos endereços de C2, o que reforça que se trata da mesma ferramenta, mesmo com cada fonte chegando a uma conclusão distinta sobre quem está por trás dela.

Consolidação de ferramentas: uma mudança de modelo operacional

Reunir três famílias de malware num único implante reduz o trabalho operacional de quem ataca: menos ferramentas para implantar, menos rastros para deixar, mais flexibilidade para decidir o tipo de dano depois que o acesso já foi conquistado. A Microsoft descreve isso como um investimento em eficiência operacional por parte do agente de ameaça, uma tendência que já apareceu antes em outras famílias de malware modular, mas raramente com essa amplitude: espionagem, extorsão falsa e sabotagem física de disco sob um único executável.

As Três Formas de Destruição Utilizadas pelo GigaWiper

Apagamento físico de disco (comando 1)

O comando 1 ataca o disco na camada física, sem passar por arquivo nenhum. O malware usa Windows Management Instrumentation (WMI) para listar todos os discos físicos da máquina, identifica qual deles contém a instalação do Windows e, nos demais discos, remove as referências de partição usando DeviceIoControl com o código IOCTL_DISK_CREATE_DISK, o que reinicializa a tabela de partições e apaga as entradas existentes. Em seguida, sobrescreve cada disco em blocos de aproximadamente 10 MB, preenchidos majoritariamente com zeros, mas com o primeiro byte de cada bloco gerado de forma aleatória, provavelmente para escapar de detecções que procuram por um padrão óbvio de disco inteiramente zerado. Ao final, o sistema é reiniciado à força.

O resultado prático: servidores param de inicializar e ambientes inteiros ficam indisponíveis até que o hardware seja reconstruído a partir de backup, não de recuperação de disco.

Ransomware sem possibilidade de recuperação (comando 3)

O comando 3 é o mais enganoso dos três porque, à primeira vista, se parece com um ataque de ransomware comum. Ele criptografa arquivo por arquivo com AES em modo CBC, usando chave e vetor de inicialização gerados aleatoriamente, exclui da criptografia arquivos essenciais como .exe e .dll para que o sistema continue de pé, renomeia cada arquivo afetado com a extensão .candy e troca o papel de parede por uma imagem de alerta. A chave e o vetor de inicialização, no entanto, nunca chegam a ser salvos em lugar nenhum, nem no disco da vítima, nem em servidor algum do atacante. Um time que trate isso como um ransomware negociável vai perder um tempo precioso esperando por um contato que nunca vai aparecer. Tabela comparativa

Apagamento seguro do Windows (comando 12)

O comando 12 é a versão mais cuidadosa dos wipers do GigaWiper. Ao contrário do comando 1, que ataca todos os discos, ele mira só o drive onde o Windows está instalado e faz isso em múltiplas passagens, sobrescrevendo o conteúdo primeiro com zeros, depois com 0xFF, depois com bytes aleatórios, registrando o tempo de cada passagem no console. É essencialmente uma reimplementação em Go do FlockWiper, atualizada e deliberadamente mais lenta: quanto mais passagens de sobrescrita, mais difícil fica qualquer tentativa de recuperação forense dos dados originais.

Capacidades de Espionagem e Controle Remoto

Captura de informações

Antes de qualquer decisão de destruição, o GigaWiper opera como uma ferramenta de coleta silenciosa. O comando 9 tira uma captura de tela por monitor conectado. O comando 10 grava vídeo da tela sempre que o usuário está ativo, ou seja, sem estar ocioso por mais de dez segundos, e a máquina está desbloqueada, salvando as gravações numa pasta dentro de C:\ProgramData\output. O comando 15 monta um inventário completo do ambiente: endereço IP, GUID da máquina, informações de CPU, sistema operacional, configuração de rede, firmware, dados do usuário e até uma lista dos softwares de antivírus instalados, coletada rodando um comando PowerShell específico para isso. Um detalhe técnico interessante: o código também referencia um comando 11 com uma mensagem de log sugerindo funcionalidade de keylogger, mas essa parte não estava implementada nas amostras que a Microsoft analisou, o que não descarta que apareça em versões futuras.

Acesso remoto avançado

O comando 20 abre um canal de controle remoto completo: mouse, teclado e streaming de tela ao vivo, no estilo VNC, tudo sobre TCP. Para não levantar suspeita, o malware cria uma regra de firewall com o nome Microsoft.Windows.CloudExperienceHost, imitando a nomenclatura de um componente legítimo do Windows. A partir daí, o operador tem à disposição um gerenciador de processos completo (comando 16, com opções para criar, suspender, retomar e encerrar processos), um gerenciador de serviços (comando 17), e uma sessão praticamente interativa dentro do registro do Windows (comando 18, com navegação entre chaves, criação e exclusão de valores). O comando 19 limpa os logs de eventos do Windows, System, Setup, Application e ForwardedEvents via wevtutil, e tenta apagar também o log de Security, recorrendo à exclusão manual do arquivo se o comando padrão falhar. Diagrama GigaWiper

Como o GigaWiper Mantém Persistência no Ambiente?

A tarefa agendada disfarçada de atualização do OneDrive

Na primeira execução, o malware cria a chave de registro HKCU\SOFTWARE\OneDrive\Environment para controlar quantas vezes já rodou naquela máquina. Em seguida, cria uma tarefa agendada chamada OneDrive Update, configurada para rodar uma vez na inicialização do sistema e, a partir daí, a cada minuto, indefinidamente. Pesquisas complementares sobre a mesma ameaça, rastreada como BLUERABBIT pela Binary Defense, descrevem essa tarefa rodando com o nível de privilégio mais alto disponível, sem limite de tempo de execução, e reiniciando automaticamente até três vezes em caso de falha. Um administrador que veja “OneDrive Update” na lista de tarefas agendadas tende a associar o nome a um processo legítimo da Microsoft e seguir em frente sem investigar. O nome foi escolhido pensando exatamente nisso.

Um canal de comando que foge do radar tradicional

A maior parte dos malwares de C2 (comando e controle) ainda usa HTTP ou DNS, protocolos que qualquer proxy web corporativo já sabe inspecionar. O GigaWiper foge desse padrão: recebe comandos via RabbitMQ, um protocolo de mensageria empresarial (AMQP), e devolve status e resultados via Redis. Numa amostra observada, o servidor RabbitMQ operava na porta 5544 e o Redis na porta 7542, ambos no mesmo endereço IP. Para receber comandos em massa, o malware se inscreve num exchange do tipo fanout chamado “All”, que distribui qualquer mensagem publicada para todas as máquinas infectadas ao mesmo tempo. Para comandos direcionados a uma máquina específica, existe um segundo exchange do tipo topic chamado “Topic”. Como RabbitMQ e Redis são ferramentas legítimas, amplamente usadas em ambientes corporativos que rodam aplicações próprias, o tráfego malicioso tende a se misturar ao tráfego normal de infraestrutura em vez de acender um alerta óbvio.

Quem São os Possíveis Alvos?

Organizações em maior risco

O desenho do GigaWiper mira ambientes Windows corporativos de médio e grande porte, com infraestrutura híbrida e presença forte em Microsoft 365: servidores de produção, sistemas críticos e identidades com privilégio elevado são os alvos que justificam meses de espionagem silenciosa antes da destruição. Até a publicação deste artigo, os únicos alvos confirmados publicamente são organizações israelenses, segundo a atribuição feita pela Binary Defense e pelo Google Threat Intelligence Group, associada a um cluster de atividade provavelmente ligado ao Irã. Isso não limita o risco a essa região: a Microsoft não descarta outros alvos, e ferramentas modulares como essa, pensadas para montar uma vez e reaproveitar em qualquer campanha, costumam vazar para outros operadores com o tempo.

Cenários mais críticos

Os cenários onde esse tipo de ferramenta tende a aparecer não são o crime oportunista do dia a dia. São sabotagem direcionada, conflitos geopolíticos onde a destruição de dados carrega valor estratégico além do financeiro, e operações de extorsão destrutiva, em que a ameaça de apagar tudo pesa mais na negociação do que a promessa de devolver o acesso.

Se sua empresa opera servidores de produção ou infraestrutura híbrida em ambiente Microsoft, essa é a hora de descobrir com que rapidez esse tipo de espionagem seria percebido no seu ambiente, não depois que ela virar um comando de destruição. A InfoB é parceira certificada Microsoft e pode conduzir essa avaliação junto com o time de TI. Fale com um especialista da InfoB.

Por que o GigaWiper Preocupa os Especialistas?

Antes e agora

Até pouco tempo atrás, malware destrutivo seguia um roteiro previsível: entra, destrói, sai. Investigadores encontravam o estrago depois do fato consumado. O GigaWiper quebra esse roteiro porque a mesma ferramenta pode passar semanas em modo espião, coletando tela, registro e inventário, e só decidir o que fazer com aquele acesso depois de entender o valor real do ambiente. A escolha entre continuar espionando, se mover lateralmente pela rede ou destruir tudo de uma vez fica em aberto até o operador enviar o comando certo.

O impacto para o SOC

Para um time de segurança, isso muda o que vale a pena monitorar. Um alerta de gravação de tela ou de navegação remota no registro já é, sozinho, tão sério quanto detectar um comando de destruição, porque nesse ponto o atacante já decidiu o que fazer, só ainda não apertou o botão. A janela de resposta encolhe, a velocidade de execução do ataque sobe quando ele finalmente é acionado, e a contenção fica mais difícil justamente porque, até ali, o comportamento observado parecia só espionagem, não uma ameaça destrutiva iminente.

Como se Proteger do GigaWiper?

Identidade

MFA resistente a phishing, Conditional Access e privilégio mínimo reduzem a chance de um atacante conseguir a credencial que abre caminho até o endpoint. Detalhamos como montar essa camada, incluindo os limites reais de cada controle, no artigo sobre phishing que burla o MFA no Microsoft 365.

Endpoint

A própria Microsoft publicou recomendações específicas para o GigaWiper, e a primeira delas ataca um problema comum: sem proteção contra adulteração (tamper protection) habilitada em todo o tenant, um atacante consegue desligar o Microsoft Defender Antivirus sem precisar de privilégio elevado algum. Para quem usa Intune ou Microsoft Defender for Endpoint Security Configuration, habilitar DisableLocalAdminMerge impede que exclusões de antivírus sejam alteradas via GPO. Completam essa camada: proteção baseada em nuvem ativa para cobrir ameaças novas antes que uma assinatura tradicional exista, EDR em modo de bloqueio para agir mesmo quando outro antivírus não detectou a ameaça, investigação e remediação automatizadas em modo totalmente automático, e a regra de redução de superfície de ataque que bloqueia a execução de arquivos que não atendam a critérios de prevalência, idade ou lista confiável.

Backup

Nenhum dos três comandos destrutivos do GigaWiper deixa margem para negociação ou recuperação por conta própria, o que torna o backup a última linha de defesa, não uma das opções entre várias. Backups imutáveis, testes periódicos de restauração de verdade, não apenas a confirmação de que o job rodou, e a estratégia 3-2-1 continuam sendo a base. Detalhamos como estruturar essa camada especificamente para Microsoft 365 no artigo sobre backup e recuperação no Microsoft 365.

Monitoramento

Os sinais que a própria Microsoft lista como indicadores do GigaWiper são bem específicos e valem a pena virar regra de alerta num SIEM: a tarefa agendada “OneDrive Update” rodando a cada minuto, a regra de firewall chamada Microsoft.Windows.CloudExperienceHost, tráfego de RabbitMQ ou Redis para endereços fora do padrão da organização, e um caso particular que merece atenção redobrada, atividade de criptografia de arquivos que se parece com ransomware, mas sem nenhuma nota de resgate. Esse último padrão específico é, sozinho, mais indício de wiper disfarçado do que de ransomware de verdade, e muda completamente qual é a resposta correta ao incidente.

Resposta a Incidentes

Um plano de recuperação documentado, testado com simulações reais de ransomware e de wiper, e exercícios de crise que envolvam quem decide, não só quem executa, muda a métrica que mais importa depois de um ataque: horas de indisponibilidade contra semanas reconstruindo tudo do zero.

Como a InfoB Pode Ajudar a Reduzir o Risco?

Cada camada de defesa descrita acima tem uma avaliação correspondente dentro do portfólio da InfoB, parceira certificada Microsoft:

  • Microsoft Security Assessment — avaliação completa da postura de segurança do ambiente Microsoft, identificando lacunas antes que um agente de ameaça as encontre primeiro.
  • Microsoft 365 Identity Risk Assessment — mapeamento de riscos na camada de identidade, a porta de entrada mais comum para esse tipo de ataque.
  • MDR/XDR Gerenciado — monitoramento contínuo capaz de identificar os sinais de comprometimento antes que o atacante decida qual comando destrutivo enviar.
  • Backup & Recovery Assessment — avaliação real da capacidade de recuperação pós-ataque, não apenas da existência de um job de backup.
  • SOC as a Service — detecção e resposta 24×7 para ambientes sem estrutura própria de monitoramento contínuo.

Cada uma dessas avaliações resolve uma lacuna específica das descritas neste artigo. Se sua empresa opera ambientes Microsoft críticos, o ponto de partida costuma ser simples: saber qual dessas cinco lacunas está mais aberta hoje. Fale com um especialista da InfoB.

Conclusão

O GigaWiper não resolve a pergunta que times de segurança sempre fizeram sobre um malware novo, o que ele quer, porque essa pergunta deixou de ter uma resposta fixa. Um único executável pode passar meses espionando, e só depois decidir se vai fingir ser ransomware, sabotar o disco inteiro ou apagar apenas o drive do Windows, e essa decisão acontece depois que o atacante já está lá dentro, não antes de entrar. Um SOC que só sabe procurar por comportamento destrutivo vai continuar cego para os meses de espionagem que normalmente vêm antes dele.

Para quem defende um ambiente Microsoft, a resposta prática não muda tanto quanto o nome novo sugere: identidade bem configurada reduz a chance de entrada, tamper protection e EDR em modo de bloqueio reduzem o tempo até a detecção, e backup imutável garante que, mesmo que os três comandos destrutivos sejam acionados ao mesmo tempo, existe um caminho de volta que não depende de negociar com quem não tem nenhuma intenção de negociar.

Perguntas Frequentes

O que é o GigaWiper?

É um backdoor modular escrito em Golang, identificado pela Microsoft Threat Intelligence e documentado publicamente em julho de 2026. Diferente de um malware de função única, ele concentra espionagem, controle remoto completo e três mecanismos distintos de destruição dentro do mesmo implante, ativados sob demanda por comandos numerados.

O GigaWiper é ransomware?

Só parcialmente, e de propósito. Um dos vinte comandos criptografa arquivos e se comporta visualmente como ransomware, com extensão nova e papel de parede trocado, mas a chave de criptografia nunca é salva em lugar nenhum. Sem chave guardada não existe decodificação possível, então tecnicamente é um wiper usando a estética do ransomware para ganhar tempo enquanto a vítima ainda acredita que pode negociar.

Qual a diferença entre GigaWiper e ransomware tradicional?

Ransomware tradicional guarda a chave porque precisa dela para cobrar o resgate. O GigaWiper descarta a chave no instante em que ela é gerada, o que elimina qualquer possibilidade de recuperação e qualquer motivo para negociar. Tratar um incidente do GigaWiper como se fosse um ransomware negociável custa tempo precioso que deveria ir direto para a restauração via backup.

Como o GigaWiper apaga dados?

De três formas escolhidas independentemente pelo operador: sobrescrita da camada física do disco removendo a tabela de partições, criptografia sem chave salva disfarçada de ransomware, e sobrescrita em múltiplas passagens apenas do drive onde o Windows está instalado, técnica pensada para dificultar a recuperação forense.

O Microsoft Defender detecta o GigaWiper?

Sim, a Microsoft publicou detecções específicas no Microsoft Defender Antivirus e no Microsoft Defender for Endpoint para o GigaWiper, o FlockWiper e componentes relacionados, além de sinalização de comportamento de ransomware no sistema de arquivos. Isso reduz o risco em ambientes já protegidos, mas não substitui tamper protection e EDR em modo de bloqueio, já que detecção por assinatura sozinha não cobre variações futuras do mesmo código reaproveitado.

Como proteger ambientes Microsoft 365 contra malware destrutivo?

A combinação que reduz o risco cobre identidade (MFA resistente a phishing e Conditional Access), endpoint (tamper protection, EDR em modo de bloqueio, proteção em nuvem), backup imutável testado periodicamente, e monitoramento ativo de sinais específicos do GigaWiper, como a tarefa “OneDrive Update” e tráfego incomum de RabbitMQ ou Redis.

Qual o impacto de um ataque wiper para empresas?

Ao contrário de um vazamento de dados, que gera custo de resposta e possivelmente multa, um ataque wiper bem-sucedido pode deixar servidores inteiros sem inicializar, parando a operação até que o hardware seja reconstruído a partir de backup. Não existe negociação de resgate para acelerar a volta: o tempo de recuperação depende inteiramente da estratégia de backup que a empresa já tinha antes do ataque.

Quais são os sinais de comprometimento pelo GigaWiper?

Os mais específicos são a tarefa agendada “OneDrive Update” rodando a cada minuto, uma regra de firewall chamada Microsoft.Windows.CloudExperienceHost, tráfego de RabbitMQ ou Redis para endereços de IP fora do padrão da organização, e atividade de criptografia de arquivos sem nenhuma nota de resgate associada, um padrão que aponta para wiper disfarçado, não para ransomware de verdade.