Заголовки новостей об атаках программ-вымогателей часто рисуют монолитный образ преступной группировки, например: "Группировка Akira атакует критическую инфраструктуру". Однако реальность киберпреступного ландшафта гораздо сложнее и фрагментированнее. Многие современные семейства вредоносного ПО для шифрования данных, включая недавно появившийся NightSpire, распространяются по модели "вымогательство как услуга". Это означает, что основную разработку и поддержку шифровальщика и инфраструктуры для переговоров ведёт ядро злоумышленников, но само вредоносное ПО продаётся или сдаётся в аренду независимым партнёрам - аффилиатам. Именно они проводят атаки, выбирая цели и реализуя начальное проникновение. При этом один и тот же аффилиат может со временем использовать разные RaaS-платформы, что ещё больше запутывает следы.
Описание
Для специалистов по кибербезопасности, особенно в компаниях, предоставляющих услуги управляемой защиты (MDR) и управляемой безопасности (MSSP), эта модель имеет критическое значение. Тактики, техники и процедуры (TTPs), а также индикаторы компрометации (IoC) будут серьёзно варьироваться от атаки к атаке, даже если в конечном итоге файлы зашифрованы одним и тем же вымогателем. Успешный инцидент, описанный полгода назад в другом регионе или отрасли, может следовать совершенно иному сценарию, начиная от вектора первоначального доступа и заканчивая методами извлечения данных. Следовательно, атаки, приписываемые "группировке NightSpire", на деле могут быть работой разных исполнителей с уникальными почерками, что ставит под сомнение эффективность защиты, основанной лишь на прошлых IoC.
Яркой иллюстрацией этой проблемы стал инцидент, расследованный специалистами компании Huntress в конце марта 2026 года. Агент безопасности был установлен на конечные точки нового клиента уже *после* того, как злоумышленник получил первоначальный доступ. Расследование показало, что доступ был получен через RDP (протокол удалённого рабочего стола) за несколько дней до установки защиты. На первой скомпрометированной машине злоумышленник последовательно установил Chrome Remote Desktop для удалённого управления, поисковую утилиту Everything для навигации по файлам, а затем MEGASync - вероятно, для извлечения данных. Далее последовала установка VMWare Workstation и офисного пакета WPS Office. На второй конечной точке были обнаружены следы закрепления с помощью Chrome Remote Desktop и AnyDesk. Финальным аккордом стал запуск шифровальщика NightSpire.
Особый интерес представляет вымогательская записка, оставленная в системе. В ней утверждалось, что было похищено 2,5 ТБ данных. Однако, как отмечают аналитики Huntress, прямое подтверждение этого заявления в ходе расследования найти не удалось. Известно, что злоумышленник использовал Everything для просмотра файлов и 7Zip для их архивации, но точный объём и содержание похищенных данных остаются под вопросом. Этот инцидент не был первым столкновением Huntress с NightSpire. В декабре 2025 года в другой среде также было зафиксировано шифрование с расширением ".nspire", но детали TTPs тогда были собраны скудно.
Сравнение двух этих случаев выявило ключевые различия. Публичные отчёты о NightSpire указывали на использование злоумышленниками встроенных системных утилит (так называемых LOLBins), таких как WMI или PsExec. Однако в мартовской атаке 2026 года злоумышленник, будь то ядро группировки или аффилиат, "привёз" с собой все инструменты: от средств удалённого доступа до софта для работы с файлами. Ни одно из этих приложений не является родным для операционной системы Windows. Более того, изменились и детали самого шифровальщика - например, имя и содержимое файла с требованиями выкупа.
Эти различия могут говорить как об эволюции самого вредоносного ПО, так и о работе разных аффилиатов под брендом NightSpire. Вопрос о том, перешла ли группировка на модель RaaS, остаётся открытым: в июле 2025 года исследователи Halcyon заявляли, что это "закрытый магазин", а уже в сентябре HivePro сообщала о работе по модели "вымогательство как услуга". Независимо от внутренней структуры, меняющиеся TTPs в рассмотренных инцидентах наглядно демонстрируют, что индикаторы, привязанные к "группировкам"-вымогателям, не высечены в камне. Аналитики Huntress наблюдают подобную картину и с другими RaaS-семействами, где кластеры атак различаются уже на уровне имён рабочих станций и последовательности действий.
Для защищающихся организаций это означает необходимость смещения фокуса с простого поиска известных вредоносных хэшей или доменов на более глубокий поведенческий анализ. Эффективная защита должна выявлять аномальные последовательности действий: установку непрофильного ПО типа удалённых десктопов сразу после RDP-сессии, запуск поисковых утилит с последующей архивацией данных и сетевыми передачами в облачные хранилища. Постоянная изменчивость тактик аффилиатов делает стратегию, основанную только на реагировании после факта, всё более рискованной, подчёркивая важность проактивного мониторинга и своевременного обнаружения аномальной активности на ранних этапах киберубийственной цепи.
Индикаторы компрометации
Emails
- prince1990905@gmail.com
SHA256
- ad67031e2ca68764fe1a7d6632c02b02a299d59efb920710011a9a2ccf4399b7
- bde50a42efc079edde1a314243ad339db2d42e343fbbcd39117803b0f5960355
