Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
NightSpire é uma família de ransomware que parece operar sob um modelo de entrega Ransomware-como-Serviço . Em vez de depender fortemente de binários embutidos, os operadores rotineiramente trazem utilitários de terceiros para persistência, preparação de dados e exfiltração, indicando atividade manual. Os incidentes foram observados desde o início de 2025 até março de 2026 e geralmente envolvem implantação manual de ferramentas pelo atacante. Indicadores comuns incluem binários de criptografadores personalizados, a .nspire extensão de arquivo em dados criptografados e notas de resgate que seguem padrões de nomenclatura consistentes.
Investigação
Os investigadores da Huntress relataram acesso do atacante por RDP, seguido pela instalação do Chrome Remote Desktop para manter o controle interativo. Os intrusos então usaram ferramentas como Everything, 7-Zip, e MEGASync para identificar dados valiosos, prepará-los para envio e exfiltrá-los. Em etapas posteriores, softwares adicionais, incluindo VMware Workstation and WPS Office foram introduzidos no host. Foram identificados rastros de persistência em vários pontos de extremidade, e o criptografador NightSpire (enc.exe) apareceu com diferentes valores SHA-256 em incidentes separados, sugerindo compilações por operação ou reempacotamento.
Mitigação
Monitore ferramentas de acesso remoto não autorizadas (especialmente novas utilitários adjacentes ao RDP e Chrome Remote Desktop), instalações incomuns de arquivadores de terceiros ou clientes de sincronização, e criação de arquivos que terminam em .nspire. Reduza a exposição bloqueando a execução de binários desconhecidos e aperte os controles de privilégio mínimo ao redor do acesso remoto. Mantenha backups regulares e assegure-se de que proteções de Volume Shadow Copy estejam em vigor para evitar manipulações destrutivas.
Resposta
Se a atividade do NightSpire for suspeita, isole os sistemas impactados, preserve as evidências forenses dos utilitários instalados e da carga de ransomware, e finalize sessões ativas de área de trabalho remota. Restaure a partir de backups limpos verificados e confirme se o criptografador foi totalmente removido. Procure em toda a empresa pelo mesmo conjunto de ferramentas e artefatos relacionados, depois atualize o conteúdo de detecção para capturar padrões repetidos e comportamentos adjacentes do operador.
graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 %% Nodes – Techniques init_access[“<b>Técnica</b> – T1078 Contas válidas<br/>Credenciais RDP comprometidas usadas para acesso inicial.”] class init_access technique remote_service[“<b>Técnica</b> – T1021.001 Serviços remotos: RDP<br/>Uso de RDP para acesso remoto.”] class remote_service technique install_rat[“<b>Técnica</b> – T1219 Ferramentas de acesso remoto<br/>Instalação de Chrome Remote Desktop e AnyDesk.”] class install_rat technique ingress_transfer[“<b>Técnica</b> – T1105 Transferência de ferramentas<br/>Download de utilitários de terceiros.”] class ingress_transfer technique collection[“<b>Técnica</b> – T1083 Descoberta de ficheiros e diretórios<br/>Uso do Everything para localizar ficheiros.”] class collection technique archive[“<b>Técnica</b> – T1560.001 Arquivamento via utilitário<br/>Compressão de dados com 7Zip.”] class archive technique obfuscate_compress[“<b>Técnica</b> – T1027.015 Ficheiros ofuscados/comprimidos<br/>Ocultar dados antes da transferência.”] class obfuscate_compress technique transfer_cloud[“<b>Técnica</b> – T1537 Transferência para conta cloud<br/>Upload via MEGASync.”] class transfer_cloud technique exfil_web[“<b>Técnica</b> – T1567.002 Exfiltração via serviço web<br/>Uso de armazenamento cloud.”] class exfil_web technique encrypt_impact[“<b>Técnica</b> – T1486 Dados cifrados para impacto<br/>NightSpire cifra ficheiros.”] class encrypt_impact technique obfuscate_encryption[“<b>Técnica</b> – T1027 Ficheiros ofuscados<br/>Cifragem para dificultar análise.”] class obfuscate_encryption technique %% Nodes – Tools tool_chrome[“<b>Ferramenta</b>: Chrome Remote Desktop<br/>Acesso remoto.”] class tool_chrome tool tool_anydesk[“<b>Ferramenta</b>: AnyDesk<br/>Acesso remoto leve.”] class tool_anydesk tool tool_everything[“<b>Ferramenta</b>: Everything<br/>Pesquisa rápida de ficheiros.”] class tool_everything tool tool_7zip[“<b>Ferramenta</b>: 7Zip<br/>Compressão de ficheiros.”] class tool_7zip tool tool_megasync[“<b>Ferramenta</b>: MEGASync<br/>Sincronização cloud.”] class tool_megasync tool tool_vmware[“<b>Ferramenta</b>: VMWare<br/>Virtualização.”] class tool_vmware tool tool_wps[“<b>Ferramenta</b>: WPS Office<br/>Suite de escritório.”] class tool_wps tool %% Connections init_access –>|leads_to| remote_service remote_service –>|enables| install_rat install_rat –>|uses| tool_chrome install_rat –>|uses| tool_anydesk install_rat –>|enables| ingress_transfer ingress_transfer –>|downloads| tool_everything ingress_transfer –>|downloads| tool_7zip ingress_transfer –>|downloads| tool_megasync ingress_transfer –>|downloads| tool_vmware ingress_transfer –>|downloads| tool_wps tool_everything –>|used_for| collection collection –>|feeds_into| archive archive –>|uses| tool_7zip archive –>|produces| obfuscate_compress obfuscate_compress –>|uploaded_by| transfer_cloud transfer_cloud –>|uses| tool_megasync transfer_cloud –>|leads_to| exfil_web exfil_web –>|triggers| encrypt_impact encrypt_impact –>|results_in| obfuscate_encryption
Fluxo de Ataque
Detecções
Software Alternativo de Acesso Remoto / Gerenciamento (via criação de processo)
Ver
Software Alternativo de Acesso Remoto / Gerenciamento (via sistema)
Ver
Software Alternativo de Acesso Remoto / Gerenciamento (via auditoria)
Ver
IOCs (HashSha256) para detectar: Leveling Up com NightSpire Ransomware
Ver
Detecção de Extensão de Arquivo e Nota de Resgate do NightSpire Ransomware [Evento de Arquivo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check Preliminar de Telemetria & Baseline deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa de Ataque & Comandos:
O atacante simulado obteve acesso inicial e agora inicia a carga de ransomware. A carga criptografa um arquivo-alvo, renomeia-o com a extensão “.nspire” e deixa uma nota de resgate no mesmo diretório. O atacante usa cmdlets embutidos do PowerShell para evitar escrever binários adicionais, imitando uma abordagem de viver-da-terra.- Selecione um arquivo alvo (por exemplo, um documento dummy).
- Criptografar o arquivo usando uma rotina XOR simples (representativa da criptografia de ransomware).
- Renomear o arquivo criptografado para que seu nome termine com “.nspire”.
- Crie uma nota de resgate nomeada
_nightspire_readme.txtcontendo instruções de resgate.
-
Script de Teste de Regressão: O seguinte script do PowerShell reproduz as etapas acima e gera a telemetria exata que a regra Sigma monitora.
# Simulação de ransomware NightSpire – gera arquivos .nspire e notas de resgate param( [string]$TargetFolder = "$env:USERPROFILEDesktopNightSpireDemo" ) # 1. Prepare a pasta de demonstração New-Item -ItemType Directory -Path $TargetFolder -Force | Out-Null # 2. Crie um arquivo vítima dummy $victimPath = Join-Path $TargetFolder "victim_document.txt" "This is a sample document that will be 'encrypted'." | Set-Content -Path $victimPath -Encoding UTF8 # 3. "Criptografia" XOR simples (para propósitos de demonstração apenas) $key = 0x5A $bytes = [System.IO.File]::ReadAllBytes($victimPath) for ($i = 0; $i -lt $bytes.Length; $i++) { $bytes[$i] = $bytes[$i] -bxor $key } $encPath = Join-Path $TargetFolder "victim_document.nspire" [System.IO.File]::WriteAllBytes($encPath, $bytes) # 4. Remove o texto simples original Remove-Item -Path $victimPath -Force # 5. Deixe a nota de resgate (um dos dois nomes que a regra detecta) $notePath = Join-Path $TargetFolder "_nightspire_readme.txt" @" Your files have been encrypted by NightSpire ransomware. To restore your data, send 2 BTC to the address below. "@ | Set-Content -Path $notePath -Encoding UTF8 Write-Host "Simulação completa. Arquivos criados:" Write-Host " - $encPath" Write-Host " - $notePath" -
Comandos de Limpeza: Remova todos os artefatos após verificação.
# Remova os artefatos de simulação NightSpire $demoFolder = "$env:USERPROFILEDesktopNightSpireDemo" if (Test-Path $demoFolder) { Remove-Item -Path $demoFolder -Recurse -Force Write-Host "Pasta de demonstração removida." } else { Write-Host "Nenhum artefato de demonstração encontrado." }