Şubat 2025’te ortaya çıkmasından bu yana, Nightspire fidye yazılımı grubu, hedeflenen şifrelemeyi genel veri sızıntılarıyla birleştiren sofistike bir çift genişlemeli strateji ile hızla kendini ayırt etti.
Başlangıçta Güney Kore’de ortaya çıkan grup, başlangıç erişimini elde etmek için kurumsal ağlardaki güvenlik açıklarından yararlandı, genellikle modası geçmiş VPN cihazlarından ve eşleştirilmemiş uzak masaüstü protokol hizmetlerini kullandı.
İçeride, Nightspire, bağlı dosya paylaşımlarını ve veritabanlarını tarayan özelleştirilmiş yükleri dağıtarak yüksek değerli varlıklara öncelik vererek maksimum etkiyi sağlar.
Grubun özel sızıntı bölgesinde yer alan simgesel logosu, siber gasp için profesyonelleştirilmiş yaklaşımının altını çiziyor.
.webp)
İlk kamu açıklamasından sonraki haftalar içinde, Kuzey Amerika, Asya ve Avrupa’daki kuruluşlara karşı Nightspire, Amerika Birleşik Devletleri’nde perakende ve toptan, Japonya’da kimyasal üretim ve Tayland’daki denizcilik lojistikleri gibi sektörlere karşı düzenlendi.
Mağdurlar, “.nspire” olarak yeniden adlandırılan şifreli uzantıları rapor ederek fidye notu readme.txt uzlaşmış her dizinde.
ASEC analistleri, bu notların oldukça tehdit edici bir dil kullandığını ve veri sürümü için geri sayım zamanlayıcılarını içerdiğini ve hassas bilgiler kamuya açıklanmadan önce kurbanların müzakere etme baskısını artırdığını belirtti.
Nightspire’ın ayak izi genişledikçe, güvenlik araştırmacıları altta yatan altyapıyı incelemeye başladı.
Fidye yazılımı ikili dosyaları, dosya türüne bağlı olarak blok şifreleme ve tam şifreleme rutinleri arasında geçiş yapabilen modüler bir mimari ortaya çıkarır.
ASEC araştırmacılarının ters mühendisliğine göre, sanal disk görüntüleri gibi büyük dosyalar (.vhdx– .vmdk) ve arşivler (.zip)) bir AES-CBC blok şifreleme işlevi kullanılarak 1 MB parçalarda işlenirken, belgeler ve daha küçük dosyalar aynı şifre ile tam dosya şifrelemesine tabi tutulur.
.webp)
Her şifreli dosyanın sonuna AES tuşunu ekleyerek – daha sonra RSA ile güvence altına alarak ve dosya kuyruğuna ekleyerek – Geciken SPIRE, ödeme olmadan hem otomatik hem de manuel kurtarmanın neredeyse imkansız kalmasını sağlar.
Enfeksiyon analizi
Nightspire’ın enfeksiyon mekanizması, Windows Defender’ı ilk olarak devre dışı bırakan ve kolay geri dönüşü önlemek için ses seviyesi kopyalarını silen çok aşamalı bir yükleyiciye bağlıdır.
Yükleyici, işletim sistemini sorgulayarak başlatır. _Stat() Ana bilgisayarın istikrarsızlaştırılmasını önlemek için sistem açısından kritik yolları filtreleme, erişilebilir dosyaları ve dizinleri numaralandırmak için işlev.
.webp)
Dosya sistemi haritası oluşturulduktan sonra, aşağıdaki sözde kodu şifreleme karar mantığını özetler:-
if (ext in {".iso", ".vhdx", ".vmdk", ".zip", ".vib", ".bak", ".mdf", ".flt", ".ldf"}) {
main_EncryptFilev2(filePath, aesKey, rsaPubKey, chunkSize = 1MB);
} else {
main_EncryptFilev1(filePath, aesKey, rsaPubKey);
}Her bir hedefi şifreledikten sonra, yükleyici bir readme.txt Ransom Note Aynı klasörde, daha sonra başarıyı grubun komut ve kontrol sunucusuna şifreli bir telgraf kanalı üzerinden iletir.
Bu aşamada, fidye yazılımı masaüstünü tarar ve bunları kritik belgelerin yanında açığa çıkarır ve kaldıraçını güçlendirir. Sonuç, geleneksel tespit mekanizmalarını karıştırmaya bırakan hızlı, gizli bir uzlaşmadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.