NightSpire Ransomware розвивається: оновлені техніки та поради щодо виявлення

Резюме

NightSpire — це сімейство програми-шифрувальника, яке, здається, діє за моделлю Ransomware-as-a-Service постачання. Замість того, щоб сильно покладатися на вбудовані бинари для життя за рахунок системи, оператори регулярно використовують сторонні утиліти для досягнення постійності, організації даних та ексфільтрації, що вказує на активність вручну. Інциденти спостерігалися з початку 2025 року до березня 2026 року і зазвичай включають ручне розгортання інструментів нападниками. Загальні індикатори включають фірмові бінарії шифрувальника, .nspire розширення файлів на зашифрованих даних та записки з викупом, що слідують за постійними зразками.

Розслідування

Дослідники Huntress повідомили про доступ атакуючого через RDP, після чого встановлення Chrome Remote Desktop для підтримки інтерактивного контролю. Вторгнення потім використовували інструменти, такі як Everything, 7-Zip, та MEGASync щоб ідентифікувати цінні дані, упакувати їх для етапування та ексфільтрувати їх. На пізніх етапах додаткове програмне забезпечення включаючи VMware Workstation and WPS Office було введено на хост. Сліди постійності були ідентифіковані на кількох кінцевих точках, а шифрувальник NightSpire (enc.exe) з’являвся з різними SHA-256 значеннями під час окремих інцидентів, що припускає побудови або перепакування під кожну операцію.

Пом’якшення

Моніторьте несанкціоноване використання інструментів дистанційного доступу (особливо нові утиліти поруч із RDP та Chrome Remote Desktop), незвичні установки сторонніх архіваторів або клієнтів синхронізації та створення файлів, що закінчуються на .nspire. Зменшуйте вплив шляхом блокування виконання невідомих бінарій та посилення контролю з найменшими привілеями на віддаленому доступі. Проводьте регулярні резервні копії та забезпечте захист Volume Shadow Copy щоб запобігти деструктивному втручанню.

Реагування

Якщо підозрюється активність NightSpire, ізолюйте системи, які зазнали впливу, збережіть судово-медичні докази встановлених утиліт та злочинного навантаження, і завершіть активні сесії віддаленого робочого столу. Відновіть з перевірених чистих резервних копій та переконайтесь, що шифрувальник повністю видалений. Перевірте наявність тих самих наборів інструментів та пов’язаних артефактів по всій підприємству, потім оновіть вміст детекції, щоб зловити повторні шаблони та поведінку сусідніх операторів.

Виконання Симуляції

Передумова: Перевірка телеметрії та базовий перевірочний тест повинен бути успішно пройдено.

Причина: Цей розділ деталізує точне виконання техніки супротивника (TTP), спроектованої для активації правила виявлення. Команди та розповідь МАЮТЬ прямо відображати ідентифіковані TTP та повинні генерувати точну телеметрію, очікувану логікою детекції. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.

• Опис атак і команди:
  Симульований атакуючий отримав початковий доступ і тепер ініціює навантаження програми-шифрувальника. Навантаження шифрує цільовий файл, перейменовує його з розширенням “.nspire”, та залишає записку з викупом у тій самій директорії. Атакуючий використовує вбудовані командлети PowerShell, щоб уникнути запису додаткових бінарій, імітуючи підхід «жити за рахунок системи».

  1. Виберіть цільовий файл (наприклад, підставний документ).
  2. Зашифруйте файл використовуючи просту рутину XOR (представницьку для шифрування програмою-шифрувальником).
  3. Перейменуйте зашифрований файл щоб його ім’я закінчувалося на “.nspire”.
  4. Створіть записку з викупом іменем _nightspire_readme.txt що містить інструкції з викупу.

• Скрипт перевірки регресії: Наступний скрипт PowerShell відтворює наведені вище кроки і генерує точну телеметрію, до якої правило Sigma спостерігає.

  # Симуляція програми-шифрувальника NightSpire – генерує файли .nspire та записки з викупом
  param(
      [string]$TargetFolder = "$env:USERPROFILEDesktopNightSpireDemo"
  )
  
  # 1. Підготуйте демо-папку
  New-Item -ItemType Directory -Path $TargetFolder -Force | Out-Null
  
  # 2. Створіть підставний файл жертви
  $victimPath = Join-Path $TargetFolder "victim_document.txt"
  "Це зразковий документ, який буде 'зашифровано'." | Set-Content -Path $victimPath -Encoding UTF8
  
  # 3. Просте "шифрування" XOR (тільки для демо)
  $key = 0x5A
  $bytes = [System.IO.File]::ReadAllBytes($victimPath)
  for ($i = 0; $i -lt $bytes.Length; $i++) {
      $bytes[$i] = $bytes[$i] -bxor $key
  }
  $encPath = Join-Path $TargetFolder "victim_document.nspire"
  [System.IO.File]::WriteAllBytes($encPath, $bytes)
  
  # 4. Видаліть оригінальний текст
  Remove-Item -Path $victimPath -Force
  
  # 5. Залиште записку з викупом (одне з двох імен, які правило виявляє)
  $notePath = Join-Path $TargetFolder "_nightspire_readme.txt"
  @"
  Ваші файли було зашифровано програмою-шифрувальником NightSpire.
  Щоб відновити дані, надішліть 2 BTC на наведений нижче адрес.
  "@ | Set-Content -Path $notePath -Encoding UTF8
  
  Write-Host "Симуляцію завершено. Створено файли:"
  Write-Host " - $encPath"
  Write-Host " - $notePath"

• Команди очищення: Видаліть усі артефакти після перевірки.

  # Очистка артефактів симуляції NightSpire
  $demoFolder = "$env:USERPROFILEDesktopNightSpireDemo"
  if (Test-Path $demoFolder) {
      Remove-Item -Path $demoFolder -Recurse -Force
      Write-Host "Демо-папка видалена."
  } else {
      Write-Host "Артефактів демонстрації не знайдено."
  }