Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
NightSpire è una famiglia di ransomware che sembra operare secondo un modello di distribuzione Ransomware-as-a-Service . Piuttosto che fare forte affidamento su binari integrati living-off-the-land, gli operatori portano regolarmente in uso utility di terze parti per la persistenza, preparazione dei dati e esfiltrazione, indicando un’attività manuale. Gli incidenti sono stati osservati dall’inizio del 2025 fino a marzo 2026 e tipicamente coinvolgono la distribuzione manuale degli strumenti da parte dell’attaccante. Gli indicatori comuni includono binari criptatori personalizzati, l’estensione del file .nspire su dati crittografati e note di riscatto che seguono schemi di denominazione coerenti.
Indagine
Gli investigatori di Huntress hanno riportato l’accesso degli attaccanti tramite RDP, seguito dall’installazione di Chrome Remote Desktop per mantenere il controllo interattivo. Gli intrusi hanno quindi utilizzato strumenti come Everything, 7-Zip, e MEGASync per identificare dati di valore, confezionarli per la messa in scena e esfiltrarli. Nei passi successivi, sono stati introdotti ulteriori software, tra cui VMware Workstation and WPS Office sul host. Tracce di persistenza sono state identificate su più endpoint, e il criptore NightSpire (enc.exe) compariva con diversi valori SHA-256 in incidenti separati, suggerendo build o riconfezionamenti per operazione.
Mitigazione
Controlla l’uso non autorizzato di strumenti di accesso remoto (specialmente nuove utility adiacenti a RDP e Chrome Remote Desktop), installazione insolita di archiviatori di terze parti o client di sincronizzazione, e la creazione di file con l’estensione .nspire. Riduci l’esposizione bloccando l’esecuzione di binari sconosciuti e stringendo i controlli di privilegio minimi sull’accesso remoto. Mantieni backup regolari e garantisci protezioni per Copia Shadow del Volume per prevenire manomissioni distruttive.
Risposta
Se si sospetta un’attività di NightSpire, isola i sistemi impattati, preserva evidenze forensi delle utility installate e del payload ransomware, e termina le sessioni di desktop remoto attive. Ripristina da backup verificati puliti e conferma che il criptore sia completamente rimosso. Ricerca in tutta l’azienda lo stesso set di strumenti e artefatti correlati, quindi aggiorna il contenuto di rilevamento per catturare modelli ripetuti e comportamenti dell’operatore adiacenti.
graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 %% Nodes – Techniques init_access[“<b>Tecnica</b> – T1078 Account validi<br/>Credenziali RDP compromesse per accesso iniziale.”] class init_access technique remote_service[“<b>Tecnica</b> – T1021.001 Servizi remoti: RDP<br/>Uso di RDP.”] class remote_service technique install_rat[“<b>Tecnica</b> – T1219 Strumenti di accesso remoto<br/>Installazione di Chrome Remote Desktop e AnyDesk.”] class install_rat technique ingress_transfer[“<b>Tecnica</b> – T1105 Trasferimento strumenti<br/>Download di utility di terze parti.”] class ingress_transfer technique collection[“<b>Tecnica</b> – T1083 Scoperta file e directory<br/>Uso di Everything.”] class collection technique archive[“<b>Tecnica</b> – T1560.001 Archiviazione<br/>Compressione con 7Zip.”] class archive technique obfuscate_compress[“<b>Tecnica</b> – T1027.015 File offuscati/compressi<br/>Nascondere dati.”] class obfuscate_compress technique transfer_cloud[“<b>Tecnica</b> – T1537 Trasferimento su cloud<br/>Upload tramite MEGASync.”] class transfer_cloud technique exfil_web[“<b>Tecnica</b> – T1567.002 Esfiltrazione via web<br/>Cloud storage.”] class exfil_web technique encrypt_impact[“<b>Tecnica</b> – T1486 Cifratura dati<br/>NightSpire cifra file.”] class encrypt_impact technique obfuscate_encryption[“<b>Tecnica</b> – T1027 Offuscamento<br/>Cifratura per ostacolare analisi.”] class obfuscate_encryption technique %% Nodes – Tools tool_chrome[“<b>Strumento</b>: Chrome Remote Desktop<br/>Accesso remoto.”] class tool_chrome tool tool_anydesk[“<b>Strumento</b>: AnyDesk<br/>Accesso remoto leggero.”] class tool_anydesk tool tool_everything[“<b>Strumento</b>: Everything<br/>Ricerca file veloce.”] class tool_everything tool tool_7zip[“<b>Strumento</b>: 7Zip<br/>Compressione file.”] class tool_7zip tool tool_megasync[“<b>Strumento</b>: MEGASync<br/>Sincronizzazione cloud.”] class tool_megasync tool tool_vmware[“<b>Strumento</b>: VMWare<br/>Virtualizzazione.”] class tool_vmware tool tool_wps[“<b>Strumento</b>: WPS Office<br/>Suite ufficio.”] class tool_wps tool %% Connections init_access –>|leads_to| remote_service remote_service –>|enables| install_rat install_rat –>|uses| tool_chrome install_rat –>|uses| tool_anydesk install_rat –>|enables| ingress_transfer ingress_transfer –>|downloads| tool_everything ingress_transfer –>|downloads| tool_7zip ingress_transfer –>|downloads| tool_megasync ingress_transfer –>|downloads| tool_vmware ingress_transfer –>|downloads| tool_wps tool_everything –>|used_for| collection collection –>|feeds_into| archive archive –>|uses| tool_7zip archive –>|produces| obfuscate_compress obfuscate_compress –>|uploaded_by| transfer_cloud transfer_cloud –>|uses| tool_megasync transfer_cloud –>|leads_to| exfil_web exfil_web –>|triggers| encrypt_impact encrypt_impact –>|results_in| obfuscate_encryption
Flusso di attacco
Rilevamenti
Software Alternativo di Accesso Remoto / Gestione (tramite processo_creazione)
Visualizza
Software Alternativo di Accesso Remoto / Gestione (tramite sistema)
Visualizza
Software Alternativo di Accesso Remoto / Gestione (tramite audit)
Visualizza
IOCs (HashSha256) da rilevare: Miglioramenti con il Ransomware NightSpire
Visualizza
Rilevamento estensione file e note di riscatto Ransomware NightSpire [Evento File di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo preliminare di Telemetria e Baseline deve essere passato.
Motivo: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa di Attacco & Comandi:
L’attaccante simulato ha ottenuto l’accesso iniziale e ora avvia il payload ransomware. Il payload cripta un file di destinazione, lo rinomina con l’estensione “.nspire” e lascia una nota di riscatto nella stessa directory. L’attaccante usa cmdlet PowerShell integrati per evitare di scrivere binari aggiuntivi, imitando un approccio living‑off‑the‑land.- Seleziona un file di destinazione (ad esempio, un documento fittizio).
- Crittografa il file usando una semplice routine XOR (rappresentativa della crittografia ransomware).
- Rinomina il file crittografato in modo che il suo nome finisca con “.nspire”.
- Crea una nota di riscatto denominata
_nightspire_readme.txtcontenente istruzioni di riscatto.
-
Script di Test di Regressione: Il seguente script PowerShell riproduce i passaggi sopra e genera l’esatta telemetria che la regola Sigma osserva.
# NightSpire ransomware simulation – generates .nspire files and ransom notes param( [string]$TargetFolder = "$env:USERPROFILEDesktopNightSpireDemo" ) # 1. Prepare demo folder New-Item -ItemType Directory -Path $TargetFolder -Force | Out-Null # 2. Create a dummy victim file $victimPath = Join-Path $TargetFolder "victim_document.txt" "This is a sample document that will be 'encrypted'." | Set-Content -Path $victimPath -Encoding UTF8 # 3. Simple XOR "encryption" (for demo purposes only) $key = 0x5A $bytes = [System.IO.File]::ReadAllBytes($victimPath) for ($i = 0; $i -lt $bytes.Length; $i++) { $bytes[$i] = $bytes[$i] -bxor $key } $encPath = Join-Path $TargetFolder "victim_document.nspire" [System.IO.File]::WriteAllBytes($encPath, $bytes) # 4. Remove original plaintext Remove-Item -Path $victimPath -Force # 5. Drop ransom note (one of the two names the rule detects) $notePath = Join-Path $TargetFolder "_nightspire_readme.txt" @" Your files have been encrypted by NightSpire ransomware. To restore your data, send 2 BTC to the address below. "@ | Set-Content -Path $notePath -Encoding UTF8 Write-Host "Simulation complete. Files created:" Write-Host " - $encPath" Write-Host " - $notePath" -
Script di Pulizia: Rimuovi tutti gli artefatti dopo la verifica.
# Pulisci gli artefatti di simulazione NightSpire $demoFolder = "$env:USERPROFILEDesktopNightSpireDemo" if (Test-Path $demoFolder) { Remove-Item -Path $demoFolder -Recurse -Force Write-Host "Cartella demo rimossa." } else { Write-Host "Nessun artefatto demo trovato." }