Introdução
Uma nova ameaça de ransomware está fazendo ondas em dezenas de indústrias e países, usando uma abordagem surpreendentemente simples, mas eficaz, para invadir sistemas e bloquear as vítimas fora de seus próprios dados. O NightSpire, identificado pela primeira vez no início de 2025, já mostrou que está disposto a lançar uma rede ampla, atingindo hospitais, escolas, escritórios governamentais e instituições financeiras. O que o destaca não é apenas o que ele criptografa, mas como se move silenciosamente antes que alguém perceba.
Descoberta e Escopo da Campanha
O NightSpire opera através de um modelo de extorsão dupla. Os atacantes primeiro roubam arquivos sensíveis do ambiente da vítima e depois criptografam tudo à vista. Se a vítima se recusar a pagar, os criminosos ameaçam publicar os dados roubados em um site de vazamento baseado em Tor. Entre março e junho de 2025, o NightSpire atingiu pelo menos 64 organizações em 33 países, com os Estados Unidos no topo da lista de vítimas, seguido por Turquia, Hong Kong, Japão, Taiwan, México, Espanha e Egito.
Analistas da Picus Security, que documentaram a cadeia de ataque em detalhes, notaram que o criptografador é construído em Go, uma linguagem de programação conhecida por criar executáveis leves e multiplataforma. O malware anexa a extensão .nspire a cada arquivo bloqueado e deixa uma nota de resgate dentro de cada pasta afetada. Notavelmente, ele também criptografa arquivos do OneDrive sem alterar suas extensões, um comportamento que pode facilmente pegar as vítimas de surpresa.
Vetor de Acesso e Persistência
O NightSpire ganha acesso inicial através do Protocolo de Área de Trabalho Remota (RDP), um recurso legítimo do Windows usado por equipes de TI em todo o mundo todos os dias. Uma vez dentro, em vez de implantar backdoors personalizados que poderiam acionar alertas de segurança, os atacantes instalam software de administração remota amplamente confiável para manter um pé firme constante nas máquinas comprometidas.
O Chrome Remote Desktop foi implantado em pelo menos duas máquinas comprometidas, executando como um serviço Windows persistente nomeado "Chrome Remote Desktop Service". A conta do Google vinculada a esta implantação foi prince1990905@gmail[.]com, mostrando o pouco esforço necessário para estabelecer acesso de longo prazo. Em um endpoint separado, o AnyDesk foi instalado, criando tanto um serviço Windows quanto um atalho de inicialização para que fosse iniciado automaticamente em cada reinicialização.
Essa abordagem dá aos atacantes uma vantagem poderosa. Porque essas ferramentas são legítimas e comumente usadas para suporte de TI, é muito menos provável que levantem bandeiras no monitoramento de segurança. Até que os defensores notem algo incomum, o atacante pode já ter passado dias dentro da rede.
Descoberta, Exfiltração e Criptografia em Escala
Após garantir a persistência, os atacantes movem-se rapidamente para localizar e coletar dados valiosos. Eles implantam o Everything da voidtools, uma utilidade gratuita de pesquisa de arquivos que escaneia unidades inteiras em segundos, permitindo que eles localizem documentos sensíveis quase instantaneamente. As pastas alvo são então compactadas em arquivos protegidos por senha usando o 7-Zip, reduzindo o número de arquivos que precisam ser transferidos.
Esses arquivos são enviados para o armazenamento em nuvem MEGA usando o MEGAsync, uma ferramenta de sincronização gratuita que se mistura à atividade normal. O criptografador baseado em Go é então lançado, percorrendo todas as unidades e caminhos acessíveis, renomeando cada arquivo com a extensão .nspire e deixando notas de resgate em todo o sistema.
Indicadores de Comprometimento (IoCs)
As organizações devem monitorar o uso inesperado de ferramentas de acesso remoto e aplicativos de sincronização em nuvem em endpoints. Restringir o acesso RDP, reforçar a autenticação multifator e bloquear instalações de software não autorizado são passos práticos que cortam o risco significativamente. As equipes de segurança também podem simular padrões de ataque do NightSpire contra suas próprias defesas para encontrar e fechar lacunas antes que os atacantes reais o façam.
- SHA256 Hash: bde50a42efc079edde1a314243ad339db2d42e343fbbcd39117803b0f5960355 (File encryptor, December 2, 2025)
- SHA256 Hash: ad67031e2ca68764fe1a7d6632c02b02a299d59efb920710011a9a2ccf4399b7 (File encryptor, March 25, 2026)
- Extensão de Arquivo: .nspire
- Email: prince1990905@gmail[.]com
O que os CISOs devem fazer imediatamente
Restringir o acesso RDP a usuários autorizados e exigir autenticação multifator (MFA) é crucial. Monitorar logs de autenticação para tentativas de login RDP fora do horário comercial ou de locais incomuns pode ajudar na detecção precoce. Além disso, auditar a instalação de software de administração remota em endpoints e bloquear ferramentas não autorizadas como AnyDesk ou Chrome Remote Desktop se não forem necessárias para operações legítimas.