Новая угроза в мире кибербезопасности: группа NightSpire Ransomware атакует компании по всему миру

NightSpire действует глобально, не фокусируясь на конкретных странах или отраслях. Однако анализ 55 подтвержденных атак показал, что чаще всего под удар попадают компании из США, Тайваня, Гонконга, Египта и ряда европейских стран. Среди наиболее уязвимых секторов - технологии, IT-услуги, финансы, производство, строительство и образование.

Группа предпочитает атаковать малый и средний бизнес, который зачастую не обладает достаточными ресурсами для защиты от сложных киберугроз. Однако в их списке жертв встречаются и государственные учреждения, что делает NightSpire особенно опасным противником.

Техники атак NightSpire включают эксплуатацию уязвимостей в общедоступных системах, таких как VPN и межсетевые экраны, включая недавно обнаруженную уязвимость CVE-2024-55591 в устройствах Fortinet. После проникновения в сеть злоумышленники используют стандартные инструменты Windows (PowerShell, PsExec, WMI) для перемещения внутри инфраструктуры, крадут учетные данные с помощью Mimikatz и похищают данные перед шифрованием.

Для защиты от NightSpire эксперты рекомендуют своевременно обновлять ПО, ограничивать удаленный доступ, контролировать использование административных инструментов, сегментировать сети и регулярно тестировать резервные копии. Также важно отслеживать признаки использования инструментов для эксфильтрации данных, таких как Rclone и MEGA.

NightSpire продолжает активно развиваться, и их атаки становятся все более изощренными. Компаниям по всему миру необходимо усилить меры кибербезопасности, чтобы не стать следующей жертвой этой агрессивной группы.

Onion Domains

• a2lyiiaq4n74tlgz4fk3ft4akolapfrzk772dk24iq32cznjsmzpanqd.onion

MD5

• 0170601e27117e9639851a969240b959

SHA1

• 7a4aee1910b84c6715c465277229740dfc73fa39

SHA256

• 35cefe4bc4a98ad73dda4444c700aac9f749efde8f9de6a643a57a5b605bd4e7