Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
NightSpire est une famille de rançongiciels qui semble opérer selon un modèle de livraison de type Ransomware-as-a-Service . Plutôt que de s’appuyer fortement sur des binaires intégrés de type living-off-the-land, les opérateurs importent régulièrement des utilitaires tiers pour la persistance, la mise en scène des données et l’exfiltration, ce qui indique une activité directe. Des incidents ont été observés de début 2025 à mars 2026 et impliquent généralement le déploiement manuel d’outils par l’attaquant. Les indicateurs communs incluent des binaires de chiffrement sur mesure, l’extension de fichier .nspire sur les données chiffrées, et des notes de rançon qui suivent des schémas de dénomination cohérents.
Enquête
Les enquêteurs de Huntress ont signalé un accès attaquant via RDP, suivi par l’installation de Chrome Remote Desktop pour maintenir un contrôle interactif. Les intrus ont ensuite utilisé des outils tels que Everything, 7-Zip, et MEGASync pour identifier des données précieuses, les conditionner pour la mise en scène, et les exfiltrer. Dans les étapes ultérieures, des logiciels supplémentaires incluant VMware Workstation and WPS Office ont été introduits sur l’hôte. Des traces de persistance ont été identifiées sur plusieurs points d’extrémité, et le cryptor NightSpire (enc.exe) est apparu avec différentes valeurs SHA-256 à travers des incidents distincts, suggérant des constructions par opération ou des reconditionnements.
Atténuation
Surveillez les outils d’accès à distance non autorisés (en particulier les nouvelles utilitaires adjacentes à RDP et Chrome Remote Desktop), les installations inhabituelles d’archivistes tiers ou de clients de synchronisation, et la création de fichiers se terminant par .nspire. Réduisez l’exposition en bloquant l’exécution de binaires inconnus et en resserrant les contrôles de moindre privilège autour de l’accès à distance. Maintenez des sauvegardes régulières et assurez-vous que les protections Volume Shadow Copy sont en place pour prévenir une altération destructive.
Réponse
Si une activité NightSpire est suspectée, isolez les systèmes impactés, préservez les preuves forensic des utilitaires installés et la charge utile du rançongiciel, et terminez les sessions actives de bureau à distance. Restaurez à partir de sauvegardes vérifiées propres et assurez-vous que le cryptor est entièrement retiré. Chassez à l’échelle de l’entreprise le même ensemble d’outils et les artefacts associés, puis mettez à jour le contenu de détection pour attraper des motifs répétitifs et un comportement d’opérateur connexe.
graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 %% Nodes – Techniques init_access[« <b>Technique</b> – T1078 Comptes valides<br/>Identifiants RDP compromis pour accès initial. »] class init_access technique remote_service[« <b>Technique</b> – T1021.001 Services distants: RDP<br/>Utilisation de RDP. »] class remote_service technique install_rat[« <b>Technique</b> – T1219 Outils d’accès distant<br/>Installation de Chrome Remote Desktop et AnyDesk. »] class install_rat technique ingress_transfer[« <b>Technique</b> – T1105 Transfert d’outils<br/>Téléchargement d’outils tiers. »] class ingress_transfer technique collection[« <b>Technique</b> – T1083 Découverte fichiers et répertoires<br/>Utilisation de Everything. »] class collection technique archive[« <b>Technique</b> – T1560.001 Archivage<br/>Compression avec 7Zip. »] class archive technique obfuscate_compress[« <b>Technique</b> – T1027.015 Fichiers compressés/obfusqués<br/>Masquage des données. »] class obfuscate_compress technique transfer_cloud[« <b>Technique</b> – T1537 Transfert vers le cloud<br/>Upload via MEGASync. »] class transfer_cloud technique exfil_web[« <b>Technique</b> – T1567.002 Exfiltration via service web<br/>Stockage cloud. »] class exfil_web technique encrypt_impact[« <b>Technique</b> – T1486 Chiffrement des données<br/>NightSpire chiffre les fichiers. »] class encrypt_impact technique obfuscate_encryption[« <b>Technique</b> – T1027 Obfuscation<br/>Chiffrement pour compliquer l’analyse. »] class obfuscate_encryption technique %% Nodes – Tools tool_chrome[« <b>Outil</b>: Chrome Remote Desktop<br/>Accès distant. »] class tool_chrome tool tool_anydesk[« <b>Outil</b>: AnyDesk<br/>Accès distant léger. »] class tool_anydesk tool tool_everything[« <b>Outil</b>: Everything<br/>Recherche rapide de fichiers. »] class tool_everything tool tool_7zip[« <b>Outil</b>: 7Zip<br/>Compression de fichiers. »] class tool_7zip tool tool_megasync[« <b>Outil</b>: MEGASync<br/>Synchronisation cloud. »] class tool_megasync tool tool_vmware[« <b>Outil</b>: VMWare<br/>Virtualisation. »] class tool_vmware tool tool_wps[« <b>Outil</b>: WPS Office<br/>Suite bureautique. »] class tool_wps tool %% Connections init_access –>|leads_to| remote_service remote_service –>|enables| install_rat install_rat –>|uses| tool_chrome install_rat –>|uses| tool_anydesk install_rat –>|enables| ingress_transfer ingress_transfer –>|downloads| tool_everything ingress_transfer –>|downloads| tool_7zip ingress_transfer –>|downloads| tool_megasync ingress_transfer –>|downloads| tool_vmware ingress_transfer –>|downloads| tool_wps tool_everything –>|used_for| collection collection –>|feeds_into| archive archive –>|uses| tool_7zip archive –>|produces| obfuscate_compress obfuscate_compress –>|uploaded_by| transfer_cloud transfer_cloud –>|uses| tool_megasync transfer_cloud –>|leads_to| exfil_web exfil_web –>|triggers| encrypt_impact encrypt_impact –>|results_in| obfuscate_encryption
Attack Flow
Detections
Alternative Remote Access / Management Software (via process_creation)
View
Alternative Remote Access / Management Software (via system)
View
Alternative Remote Access / Management Software (via audit)
View
IOCs (HashSha256) to detect: Leveling Up with NightSpire Ransomware
View
NightSpire Ransomware File Extension and Ransom Note Detection [Windows File Event]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.
-
Attack Narrative & Commands:
The simulated attacker has gained initial access and now initiates the ransomware payload. The payload encrypts a target file, renames it with the “.nspire” extension, and drops a ransom‑note in the same directory. The attacker uses built‑in PowerShell cmdlets to avoid writing additional binaries, mimicking a living‑off‑the‑land approach.- Select a target file (e.g., a dummy document).
- Encrypt the file using a simple XOR routine (representative of ransomware encryption).
- Rename the encrypted file so that its name ends with “.nspire”.
- Create a ransom‑note named
_nightspire_readme.txtcontaining ransom instructions.
-
Regression Test Script: The following PowerShell script reproduces the steps above and generates the exact telemetry the Sigma rule watches for.
# NightSpire ransomware simulation – generates .nspire files and ransom notes param( [string]$TargetFolder = "$env:USERPROFILEDesktopNightSpireDemo" ) # 1. Prepare demo folder New-Item -ItemType Directory -Path $TargetFolder -Force | Out-Null # 2. Create a dummy victim file $victimPath = Join-Path $TargetFolder "victim_document.txt" "This is a sample document that will be 'encrypted'." | Set-Content -Path $victimPath -Encoding UTF8 # 3. Simple XOR "encryption" (for demo purposes only) $key = 0x5A $bytes = [System.IO.File]::ReadAllBytes($victimPath) for ($i = 0; $i -lt $bytes.Length; $i++) { $bytes[$i] = $bytes[$i] -bxor $key } $encPath = Join-Path $TargetFolder "victim_document.nspire" [System.IO.File]::WriteAllBytes($encPath, $bytes) # 4. Remove original plaintext Remove-Item -Path $victimPath -Force # 5. Drop ransom note (one of the two names the rule detects) $notePath = Join-Path $TargetFolder "_nightspire_readme.txt" @" Your files have been encrypted by NightSpire ransomware. To restore your data, send 2 BTC to the address below. "@ | Set-Content -Path $notePath -Encoding UTF8 Write-Host "Simulation complete. Files created:" Write-Host " - $encPath" Write-Host " - $notePath" -
Cleanup Commands: Remove all artifacts after verification.
# Cleanup NightSpire simulation artifacts $demoFolder = "$env:USERPROFILEDesktopNightSpireDemo" if (Test-Path $demoFolder) { Remove-Item -Path $demoFolder -Recurse -Force Write-Host "Demo folder removed." } else { Write-Host "No demo artifacts found." }