Microsoft vừa phát đi cảnh báo về một loại phần mềm độc hại mới mang tên GigaWiper, được đánh giá là một trong những mối đe dọa nguy hiểm nhất từng được phát hiện trong thời gian gần đây. Không chỉ đóng vai trò là một cửa hậu (backdoor) cho phép tin tặc điều khiển máy tính từ xa, GigaWiper còn tích hợp nhiều cơ chế phá hủy dữ liệu có khả năng xóa sạch toàn bộ ổ cứng và khiến dữ liệu không thể phục hồi.
GigaWiper là gì?
Theo nhóm Microsoft Threat Intelligence, GigaWiper là một nền tảng phần mềm độc hại đa chức năng được xây dựng bằng ngôn ngữ lập trình Go. Microsoft lần đầu ghi nhận sự xuất hiện của mã độc này vào tháng 10/2025.
Về bản chất, GigaWiper hoạt động như một backdoor, cho phép kẻ tấn công duy trì quyền truy cập bí mật vào hệ thống bị nhiễm và nhận lệnh từ máy chủ điều khiển (Command & Control – C2).
Điều khiến GigaWiper trở nên đặc biệt nguy hiểm là khả năng kết hợp nhiều họ malware khác nhau trong cùng một gói phần mềm, vừa phục vụ mục đích gián điệp vừa có thể phá hủy hoàn toàn dữ liệu trên máy tính nạn nhân.
![GigaWiper, ma doc moi vua danh cap du lieu vua co the xoa sach toan bo o cung tu xa GigaWiper, mã độc mới vừa đánh cắp dữ liệu vừa có thể xóa sạch toàn bộ ổ cứng từ xa]()
Ba cơ chế xóa dữ liệu cực kỳ nguy hiểm
Microsoft cho biết GigaWiper sở hữu tới ba phương thức xóa dữ liệu khác nhau, mỗi cơ chế đều được thiết kế để khiến việc khôi phục gần như bất khả thi.
Ghi đè trực tiếp lên ổ cứng
Thành phần đầu tiên hoạt động ở mức raw disk, ghi đè dữ liệu trực tiếp lên bề mặt lưu trữ thay vì thao tác thông qua hệ thống tập tin.
Điều này đồng nghĩa với việc malware không chỉ xóa file mà còn phá hủy dữ liệu ở cấp độ vật lý của ổ đĩa.
Mã hóa nhưng không lưu khóa giải mã
Mô-đun thứ hai được phát triển dựa trên họ ransomware Crucio.
Khác với ransomware thông thường vốn mã hóa dữ liệu để đòi tiền chuộc, GigaWiper mã hóa toàn bộ tập tin nhưng không lưu lại khóa giải mã ở bất kỳ đâu.
Kết quả là dữ liệu bị khóa vĩnh viễn và không thể khôi phục.
Xóa sạch ổ đĩa hệ thống
Thành phần cuối cùng kế thừa cơ chế từ malware FlockWiper, có khả năng xóa toàn bộ ổ đĩa Windows bằng quy trình ghi đè nhiều lần nhằm đảm bảo dữ liệu không thể phục hồi bằng các công cụ chuyên dụng.
Không chỉ phá hoại, GigaWiper còn theo dõi người dùng
Ngoài chức năng xóa dữ liệu, GigaWiper còn được trang bị hàng loạt công cụ giám sát từ xa.
Microsoft cho biết malware này hỗ trợ tới 20 lệnh điều khiển khác nhau từ máy chủ C2.
Các khả năng đáng chú ý bao gồm:
- Chụp ảnh màn hình.
- Quay video màn hình.
- Truyền trực tiếp nội dung màn hình.
- Điều khiển chuột và bàn phím từ xa.
- Thu thập thông tin hệ thống.
- Quản lý tiến trình đang chạy.
- Truy cập Windows Registry.
- Đọc và quản lý Event Log của Windows.
Đặc biệt, chức năng truyền màn hình của GigaWiper hoạt động thông qua giao thức TCP và tự động tạo ngoại lệ trong Windows Firewall nhằm che giấu lưu lượng mạng, giúp quá trình điều khiển từ xa khó bị phát hiện hơn.
Được ghép từ nhiều họ malware khác nhau
Theo Microsoft, GigaWiper không phải một mã độc hoàn toàn mới mà được tạo thành bằng cách kết hợp nhiều thành phần từ các họ malware từng xuất hiện trước đây.
Quá trình phân tích cho thấy mã nguồn của GigaWiper có nhiều điểm tương đồng với:
- Crucio (ransomware).
- FlockWiper (phần mềm xóa dữ liệu).
- Một thành phần khác được Microsoft gọi là CutBrooch, nhiều khả năng là mô-đun ghi đè ổ cứng độc lập.
Các chuyên gia nhận thấy sự trùng khớp về luồng thực thi, tên hàm cũng như nhiều chuỗi mã trong ba họ malware này.
Tin tặc có thể phá hủy hệ thống bất cứ lúc nào
Điểm đáng lo ngại nhất là sau khi lây nhiễm thành công, GigaWiper có thể tồn tại âm thầm trong hệ thống trong thời gian dài.
Kẻ tấn công chỉ cần duy trì kết nối với máy chủ điều khiển là có thể:
- Theo dõi mọi hoạt động của nạn nhân.
- Đánh cắp thông tin.
- Điều khiển máy tính từ xa.
- Kích hoạt lệnh xóa dữ liệu bất cứ thời điểm nào.
Điều này khiến GigaWiper trở thành mối đe dọa đặc biệt nguy hiểm đối với doanh nghiệp, tổ chức và các hệ thống hạ tầng quan trọng.
![GigaWiper, ma doc moi vua danh cap du lieu vua co the xoa sach toan bo o cung tu xa 2 GigaWiper, mã độc mới vừa đánh cắp dữ liệu vừa có thể xóa sạch toàn bộ ổ cứng từ xa 2]()
Microsoft khuyến nghị những biện pháp phòng vệ
Để giảm thiểu nguy cơ bị tấn công bởi GigaWiper và các malware tương tự, Microsoft khuyến nghị người dùng và doanh nghiệp nên:
- Bật Tamper Protection trong Microsoft Defender để ngăn malware vô hiệu hóa các tính năng bảo mật.
- Kích hoạt Cloud-delivered Protection nhằm tận dụng cơ chế phát hiện mối đe dọa theo thời gian thực từ nền tảng đám mây.
- Thường xuyên cập nhật Windows và Microsoft Defender lên phiên bản mới nhất.
- Giám sát các kết nối bất thường tới máy chủ điều khiển từ xa.
- Sao lưu dữ liệu định kỳ để giảm thiểu thiệt hại nếu hệ thống bị xóa dữ liệu.
Một lời nhắc nhở về xu hướng malware hiện đại
GigaWiper cho thấy xu hướng mới của các chiến dịch tấn công mạng: thay vì chỉ đánh cắp dữ liệu hoặc triển khai ransomware, tin tặc đang kết hợp nhiều kỹ thuật trong cùng một phần mềm độc hại để vừa gián điệp, vừa kiểm soát hệ thống và sẵn sàng phá hủy toàn bộ dữ liệu khi cần thiết.
Đối với doanh nghiệp, những cuộc tấn công như vậy không chỉ gây mất dữ liệu mà còn có thể khiến hoạt động kinh doanh bị tê liệt hoàn toàn. Việc đầu tư vào các giải pháp bảo mật hiện đại và duy trì cơ chế sao lưu dữ liệu an toàn đang trở thành yêu cầu bắt buộc để đối phó với thế hệ malware ngày càng tinh vi này.