NightSpire Ransomware entwickelt sich weiter: Aktualisierte Techniken und Erkennungstipps

Zusammenfassung

NightSpire ist eine Ransomware-Familie, die unter einem zu operieren scheint Ransomware-as-a-Service Liefermodell. Anstatt sich stark auf eingebaute Living-off-the-Land-Binaries zu verlassen, bringen die Betreiber routinemäßig Drittanbieter-Utilities für Persistenz, Datenstaging und Exfiltration, was auf eine aktive Beteiligung hinweist. Vorfälle wurden von Anfang 2025 bis März 2026 beobachtet und beinhalten typischerweise die manuelle Bereitstellung von Werkzeugen durch den Angreifer. Häufige Indikatoren umfassen maßgeschneiderte Verschlüsselungs-Binärdateien, die .nspire -Dateierweiterung auf verschlüsselten Daten und Erpresserschreiben, die einem konsistenten Namensmuster folgen.

Untersuchung

Huntress-Ermittler berichteten über Angreiferzugang durch RDP, gefolgt von der Installation von Chrome Remote Desktop , um die interaktive Kontrolle aufrechtzuerhalten. Die Eindringlinge nutzten dann Werkzeuge wie Everything, 7-Zipund MEGASync , um wertvolle Daten zu identifizieren, sie für das Staging zu verpacken und zu exfiltrieren. In späteren Schritten wurde zusätzliche Software wie VMware Workstation and WPS Office auf dem Host eingeführt. Persistenzspuren wurden auf mehreren Endpunkten identifiziert, und der NightSpire-Verschlüsseler (enc.exe) erschien mit unterschiedlichen SHA-256 Werten in verschiedenen Vorfällen, was auf builds oder Neupacken pro Operation hindeutet.

Milderung

Überwachen Sie auf unautorisierte Fernzugriffs-Werkzeuge (insbesondere neue RDP-angrenzende Utilities und Chrome Remote Desktop), ungewöhnliche Installation von Drittanbieter-Archivaren oder Sync-Clients und die Erstellung von Dateien, die auf .nspireenden. Reduzieren Sie die Exposition, indem Sie die Ausführung unbekannter Binärdateien unterbinden und die minimalen Privilegien-Kontrollen bei Fernzugriff verschärfen. Führen Sie regelmäßige Backups durch und stellen Sie sicher, dass Volume Shadow Copy Schutzmaßnahmen vorhanden sind, um destruktive Manipulationen zu verhindern.

Reaktion

Wenn NightSpire-Aktivitäten vermutet werden, isolieren Sie die betroffenen Systeme, bewahren Sie forensische Beweise installierter Utilities und der Ransomware-Nutzlast auf und beenden Sie aktive Fernsteuerungssitzungen. Stellen Sie aus überprüften, sauberen Backups wieder her und bestätigen Sie, dass der Verschlüsseler vollständig entfernt ist. Suchen Sie unternehmensweit nach dem gleichen Werkzeugkasten und verwandten Artefakten, dann aktualisieren Sie die Erkennungsinhalte, um Wiederholungsmuster und angrenzendes Betreiberverhalten zu erfassen.

Simulationsausführung

Voraussetzung: The Telemetry & Baseline Pre‑flight Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und der narrative Verlauf MÜSSEN die identifizierten TTPs direkt widerspiegeln und das genau erwartete Telemetrieergebnis durch die Erkennungslogik erzeugen. Abstrakte oder unzusammenhängende Beispiele führen zur Fehldiagnose.

• Angriffsverlauf & Befehle:
  Der simulierte Angreifer hat zunächst Zugang erlangt und initiiert nun die Ransomware-Nutzlast. Diese verschlüsselt eine Zieldatei, benennt sie mit der „.nspire“-Erweiterung um und legt eine Erpresserschreibe im selben Verzeichnis ab. Der Angreifer nutzt eingebaute PowerShell-Cmdlets, um das Schreiben zusätzlicher Binärdateien zu vermeiden, nach dem Living-off-the-Land-Ansatz.

  1. Wählen Sie eine Zieldatei (z.B. ein Dummy-Dokument).
  2. Verschlüsseln Sie die Datei mithilfe einer einfachen XOR-Routine (vertretend für die Verschlüsselung durch Ransomware).
  3. Bennen Sie die verschlüsselte Datei um sodass ihr Name mit „.nspire“ endet.
  4. Erstellen Sie eine Erpresserschreibe benannt _nightspire_readme.txt mit Lösegeldanweisungen.

• Regressionstest-Skript: Das folgende PowerShell-Skript reproduziert die oben beschriebenen Schritte und generiert die exakt erwartete Telemetrie, nach der die Sigma-Regel sucht.

  # NightSpire ransomware simulation – generates .nspire files and ransom notes
  param(
      [string]$TargetFolder = "$env:USERPROFILEDesktopNightSpireDemo"
  )
  
  # 1. Prepare demo folder
  New-Item -ItemType Directory -Path $TargetFolder -Force | Out-Null
  
  # 2. Create a dummy victim file
  $victimPath = Join-Path $TargetFolder "victim_document.txt"
  "This is a sample document that will be 'encrypted'." | Set-Content -Path $victimPath -Encoding UTF8
  
  # 3. Simple XOR "encryption" (for demo purposes only)
  $key = 0x5A
  $bytes = [System.IO.File]::ReadAllBytes($victimPath)
  for ($i = 0; $i -lt $bytes.Length; $i++) {
      $bytes[$i] = $bytes[$i] -bxor $key
  }
  $encPath = Join-Path $TargetFolder "victim_document.nspire"
  [System.IO.File]::WriteAllBytes($encPath, $bytes)
  
  # 4. Remove original plaintext
  Remove-Item -Path $victimPath -Force
  
  # 5. Drop ransom note (one of the two names the rule detects)
  $notePath = Join-Path $TargetFolder "_nightspire_readme.txt"
  @"
  Your files have been encrypted by NightSpire ransomware.
  To restore your data, send 2 BTC to the address below.
  "@ | Set-Content -Path $notePath -Encoding UTF8
  
  Write-Host "Simulation complete. Files created:"
  Write-Host " - $encPath"
  Write-Host " - $notePath"

• Bereinigungsbefehle: Entfernen Sie alle Artefakte nach der Überprüfung.

  # Bereinigung der NightSpire-Simulationsartefakte
  $demoFolder = "$env:USERPROFILEDesktopNightSpireDemo"
  if (Test-Path $demoFolder) {
      Remove-Item -Path $demoFolder -Recurse -Force
      Write-Host "Demo-Ordner entfernt."
  } else {
      Write-Host "Keine Demo-Artefakte gefunden."
  }