GigaWiper, mã độc mới vừa đánh cắp dữ liệu vừa có thể xóa sạch toàn bộ ổ cứng từ xa

Microsoft vừa phát đi cảnh báo về một loại phần mềm độc hại mới mang tên GigaWiper, được đánh giá là một trong những mối đe dọa nguy hiểm nhất từng được phát hiện trong thời gian gần đây. Không chỉ đóng vai trò là một cửa hậu (backdoor) cho phép tin tặc điều khiển máy tính từ xa, GigaWiper còn tích hợp nhiều cơ chế phá hủy dữ liệu có khả năng xóa sạch toàn bộ ổ cứng và khiến dữ liệu không thể phục hồi.

GigaWiper là gì?

Theo nhóm Microsoft Threat Intelligence, GigaWiper là một nền tảng phần mềm độc hại đa chức năng được xây dựng bằng ngôn ngữ lập trình Go. Microsoft lần đầu ghi nhận sự xuất hiện của mã độc này vào tháng 10/2025.

Về bản chất, GigaWiper hoạt động như một backdoor, cho phép kẻ tấn công duy trì quyền truy cập bí mật vào hệ thống bị nhiễm và nhận lệnh từ máy chủ điều khiển (Command & Control – C2).

Điều khiến GigaWiper trở nên đặc biệt nguy hiểm là khả năng kết hợp nhiều họ malware khác nhau trong cùng một gói phần mềm, vừa phục vụ mục đích gián điệp vừa có thể phá hủy hoàn toàn dữ liệu trên máy tính nạn nhân.

GigaWiper, mã độc mới vừa đánh cắp dữ liệu vừa có thể xóa sạch toàn bộ ổ cứng từ xa

Ba cơ chế xóa dữ liệu cực kỳ nguy hiểm

Microsoft cho biết GigaWiper sở hữu tới ba phương thức xóa dữ liệu khác nhau, mỗi cơ chế đều được thiết kế để khiến việc khôi phục gần như bất khả thi.

Ghi đè trực tiếp lên ổ cứng

Thành phần đầu tiên hoạt động ở mức raw disk, ghi đè dữ liệu trực tiếp lên bề mặt lưu trữ thay vì thao tác thông qua hệ thống tập tin.

Điều này đồng nghĩa với việc malware không chỉ xóa file mà còn phá hủy dữ liệu ở cấp độ vật lý của ổ đĩa.

Mã hóa nhưng không lưu khóa giải mã

Mô-đun thứ hai được phát triển dựa trên họ ransomware Crucio.

Khác với ransomware thông thường vốn mã hóa dữ liệu để đòi tiền chuộc, GigaWiper mã hóa toàn bộ tập tin nhưng không lưu lại khóa giải mã ở bất kỳ đâu.

Kết quả là dữ liệu bị khóa vĩnh viễn và không thể khôi phục.

Xóa sạch ổ đĩa hệ thống

Thành phần cuối cùng kế thừa cơ chế từ malware FlockWiper, có khả năng xóa toàn bộ ổ đĩa Windows bằng quy trình ghi đè nhiều lần nhằm đảm bảo dữ liệu không thể phục hồi bằng các công cụ chuyên dụng.

Không chỉ phá hoại, GigaWiper còn theo dõi người dùng

Ngoài chức năng xóa dữ liệu, GigaWiper còn được trang bị hàng loạt công cụ giám sát từ xa.

Microsoft cho biết malware này hỗ trợ tới 20 lệnh điều khiển khác nhau từ máy chủ C2.

Các khả năng đáng chú ý bao gồm:

  • Chụp ảnh màn hình.
  • Quay video màn hình.
  • Truyền trực tiếp nội dung màn hình.
  • Điều khiển chuột và bàn phím từ xa.
  • Thu thập thông tin hệ thống.
  • Quản lý tiến trình đang chạy.
  • Truy cập Windows Registry.
  • Đọc và quản lý Event Log của Windows.

Đặc biệt, chức năng truyền màn hình của GigaWiper hoạt động thông qua giao thức TCP và tự động tạo ngoại lệ trong Windows Firewall nhằm che giấu lưu lượng mạng, giúp quá trình điều khiển từ xa khó bị phát hiện hơn.

Được ghép từ nhiều họ malware khác nhau

Theo Microsoft, GigaWiper không phải một mã độc hoàn toàn mới mà được tạo thành bằng cách kết hợp nhiều thành phần từ các họ malware từng xuất hiện trước đây.

Quá trình phân tích cho thấy mã nguồn của GigaWiper có nhiều điểm tương đồng với:

  • Crucio (ransomware).
  • FlockWiper (phần mềm xóa dữ liệu).
  • Một thành phần khác được Microsoft gọi là CutBrooch, nhiều khả năng là mô-đun ghi đè ổ cứng độc lập.

Các chuyên gia nhận thấy sự trùng khớp về luồng thực thi, tên hàm cũng như nhiều chuỗi mã trong ba họ malware này.

Tin tặc có thể phá hủy hệ thống bất cứ lúc nào

Điểm đáng lo ngại nhất là sau khi lây nhiễm thành công, GigaWiper có thể tồn tại âm thầm trong hệ thống trong thời gian dài.

Kẻ tấn công chỉ cần duy trì kết nối với máy chủ điều khiển là có thể:

  • Theo dõi mọi hoạt động của nạn nhân.
  • Đánh cắp thông tin.
  • Điều khiển máy tính từ xa.
  • Kích hoạt lệnh xóa dữ liệu bất cứ thời điểm nào.

Điều này khiến GigaWiper trở thành mối đe dọa đặc biệt nguy hiểm đối với doanh nghiệp, tổ chức và các hệ thống hạ tầng quan trọng.

GigaWiper, mã độc mới vừa đánh cắp dữ liệu vừa có thể xóa sạch toàn bộ ổ cứng từ xa 2

Microsoft khuyến nghị những biện pháp phòng vệ

Để giảm thiểu nguy cơ bị tấn công bởi GigaWiper và các malware tương tự, Microsoft khuyến nghị người dùng và doanh nghiệp nên:

  • Bật Tamper Protection trong Microsoft Defender để ngăn malware vô hiệu hóa các tính năng bảo mật.
  • Kích hoạt Cloud-delivered Protection nhằm tận dụng cơ chế phát hiện mối đe dọa theo thời gian thực từ nền tảng đám mây.
  • Thường xuyên cập nhật Windows và Microsoft Defender lên phiên bản mới nhất.
  • Giám sát các kết nối bất thường tới máy chủ điều khiển từ xa.
  • Sao lưu dữ liệu định kỳ để giảm thiểu thiệt hại nếu hệ thống bị xóa dữ liệu.

Một lời nhắc nhở về xu hướng malware hiện đại

GigaWiper cho thấy xu hướng mới của các chiến dịch tấn công mạng: thay vì chỉ đánh cắp dữ liệu hoặc triển khai ransomware, tin tặc đang kết hợp nhiều kỹ thuật trong cùng một phần mềm độc hại để vừa gián điệp, vừa kiểm soát hệ thống và sẵn sàng phá hủy toàn bộ dữ liệu khi cần thiết.

Đối với doanh nghiệp, những cuộc tấn công như vậy không chỉ gây mất dữ liệu mà còn có thể khiến hoạt động kinh doanh bị tê liệt hoàn toàn. Việc đầu tư vào các giải pháp bảo mật hiện đại và duy trì cơ chế sao lưu dữ liệu an toàn đang trở thành yêu cầu bắt buộc để đối phó với thế hệ malware ngày càng tinh vi này.

Bài đọc nhiều nhất

Bài mới trong ngày

Galaxy Watch 9 và Galaxy Watch Ultra 2 lộ cấu hình trước ngày ra mắt, lần đầu dùng chip Snapdragon

Galaxy Watch 9 và Galaxy Watch Ultra 2 lộ cấu hình trước ngày ra mắt, lần đầu dùng chip Snapdragon

Khoa NguyenNguyễn Tiến Khoa

Chỉ hơn một tuần trước sự kiện Galaxy Unpacked, toàn bộ thông số kỹ thuật của Galaxy Watch 9 và Galaxy Watch Ultra 2 đã tiếp tục bị rò rỉ. Theo thông tin mới, Samsung sẽ mang đến nhiều nâng cấp đáng chú ý, đặc biệt là việc chuyển sang sử dụng vi xử lý Snapdragon thay cho Exynos trên dòng đồng hồ thông minh của mình.

Công Nghệ
Báo lớn Philippines phá lệ ca ngợi "Thất nghiệp chuyển sinh": Kiệt tác gai góc phá vỡ mọi lối mòn của dòng phim Isekai

Báo lớn Philippines phá lệ ca ngợi "Thất nghiệp chuyển sinh": Kiệt tác gai góc phá vỡ mọi lối mòn của dòng phim Isekai

hoanlagvnDũng Nhỏ TT

Tờ báo Anh ngữ danh giá và lâu đời bậc nhất Philippines — "Philippine Daily Inquirer" — vừa gây bất ngờ lớn khi dành riêng một bài bình luận chuyên sâu để mổ xẻ sê-ri anime đình đám "Mushoku Tensei" (Thất nghiệp chuyển sinh). Với tiêu đề đanh thép "‘Mushoku Tensei’: Not your usual isekai anime" (Thất nghiệp chuyển sinh: Không phải bộ anime chuyển sinh thông thường của bạn), tác phẩm đã nhận được cơn mưa lời khen từ giới phê bình nhờ cái nhìn trần trụi nhưng đầy tính nhân văn đối với một thể loại vốn đang rơi vào trạng thái bão hòa trên thị trường giải trí toàn cầu.

Giải trí
OpenAI được cho là phát triển thiết bị AI đầu tiên, không có màn hình và có thể di chuyển

OpenAI được cho là phát triển thiết bị AI đầu tiên, không có màn hình và có thể di chuyển

Khoa NguyenNguyễn Tiến Khoa

OpenAI được cho là đang phát triển thiết bị phần cứng đầu tiên của mình dưới dạng một loa thông minh không màn hình, tích hợp ChatGPT và được thiết kế để trở thành người bạn đồng hành AI trong gia đình. Sản phẩm vẫn đang trong giai đoạn phát triển, nhưng nhiều chi tiết ban đầu đã hé lộ tham vọng của OpenAI trong việc mở rộng từ phần mềm AI sang lĩnh vực thiết bị tiêu dùng.

Công Nghệ
Lên đầu trang