NightSpire. Nowa grupa ransomware pokazuje, że klasyczne techniki nadal działają
W świecie ransomware co chwilę pojawiają się kolejne nazwy, ale bardzo często za nową grupą stoją stare techniki. I właśnie ten fakt dobrze ilustruje przypadek grupy opisanej przez Picus Security o nazwie NightSpire, która wykorzystuje dość klasyczny, ale skuteczny łańcuch ataku, oparty głównie o legalne narzędzia systemowe i dobrze znane techniki post-exploitation.
Atak zaczyna się bardzo typowo
Według analizy opublikowanej przez Picus początkowy dostęp często opiera się na phishingu albo przejętych danych uwierzytelniających. Nie ma tutaj spektakularnych zero-dayów czy skomplikowanych exploit chainów.
Atakujący stawiają raczej na coś znacznie bardziej przewidywalnego – błędy konfiguracji, słabe hasła i użytkowników, którzy nadal dają się złapać na socjotechnikę. Takie ataki ciągle działają, bo większość dużych organizacji jest przygotowana na „zaawansowanych” hakerów, a znacznie gorzej radzi sobie z podstawową higieną bezpieczeństwa.
Living off the Land nadal dominuje
Jednym z najciekawszych elementów kampanii NightSpire jest bardzo mocne wykorzystanie technik Living off the Land. Atakujący korzystają głównie z narzędzi, które już znajdują się w systemie. Pojawiają się między innymi:
- PowerShell,
- PsExec,
- WMIC,
- RDP
- oraz standardowe komponenty Windowsa.
Powoduje to ogromny problem po stronie detekcji. Z perspektywy EDR część aktywności wygląda jak normalna administracja systemem. Tutaj uwypuklony jest jeden z największych problemów współczesnych SOC-ów – odróżnienie administratora od atakującego.
PowerShell nadal jest jednym z ulubionych narzędzi
NightSpire bardzo mocno wykorzystuje PowerShell do wykonywania poleceń, pobierania payloadów i dalszego poruszania się po środowisku.
To nic nowego, ale dobrze pokazuje, że PowerShell pozostaje jednym z najpotężniejszych narzędzi ofensywnych dostępnych natywnie w Windowsie. Szczególnie gdy organizacja nie ma poprawnie skonfigurowanego logowania Script Block Logging albo AMSI.
W wielu środowiskach PowerShell nadal jest monitorowany głównie po nazwie procesu powershell.exe, co w praktyce bywa niewystarczające. Coraz częściej atakujący uruchamiają kod PowerShell z pamięci albo hostują runspace’y wewnątrz innych procesów. Efekt jest taki, że część aktywności zwyczajnie nie trafia do klasycznej telemetryki.
Na tym przykładzie dobrze widać, że wyłączenie czy zablokowanie PowerShella na stacjach roboczych skutecznie przecina łańcuch takich ataków.
Łańcuch ataku NightSpire
Najważniejsze w analizie NightSpire jest to, że samo szyfrowanie danych pojawia się dopiero na końcu całego procesu. Wcześniej atakujący rozpoznają środowisko, zbierają dane o użytkownikach i systemach, przemieszczają się lateralnie, eskalują uprawnienia oraz wyłączają zabezpieczenia.
Oznacza to, że organizacja bardzo często ma wiele okazji do wykrycia ataku, zanim ransomware zostanie uruchomione. Problem polega na tym, że większość zespołów skupia się na końcowym payloadzie, ignorując wcześniejsze sygnały kompromitacji.
NightSpire aktywnie próbuje też wyłączać lub osłabiać mechanizmy ochronne jeszcze przed uruchomieniem ransomware. To dziś praktycznie standard w nowoczesnych kampaniach. Atakujący dobrze wiedzą, że samo uruchomienie szyfratora w obecności aktywnego EDR może zakończyć się wykryciem albo zablokowaniem procesu. Dlatego wcześniej pojawiają się próby wyłączenia usług AV, zatrzymania procesów backupu czy nawet usuwania shadow copies. Zapewne jest to jeden z najlepszych momentów na wykrycie intruza.
Jednym z powodów wysokiej skuteczności NightSpire jest sposób poruszania się po środowisku. Atakujący korzystają z mechanizmów administracyjnych, które w wielu organizacjach są używane codziennie. RDP, SMB czy PsExec same w sobie nie są podejrzane. Problem pojawia się dopiero wtedy, gdy zaczynamy analizować kontekst ich użycia.
Jeśli konto helpdesku nagle zaczyna logować się do kilkunastu serwerów jednocześnie albo uruchamia PowerShell na systemach, z którymi wcześniej nie miało kontaktu, to powinno to wyglądać podejrzanie.
Jak wykrywać takie kampanie
Największy problem z grupami typu NightSpire polega na tym, że ich aktywność przez długi czas wygląda całkowicie legalnie. Dlatego kluczowe staje się monitorowanie anomalii: nietypowych logowań, nagle uruchamianego PowerShella, masowego użycia narzędzi administracyjnych czy prób wyłączania zabezpieczeń.
Ogromne znaczenie ma też korelacja zdarzeń. Pojedynczy alert bardzo często wygląda niewinnie. Dopiero połączenie kilku pozornie zwykłych aktywności składa się na pełny obraz ataku. Wiele organizacji korzysta z telemetrii, ale nie wie, jak poprawnie łączyć zdarzenia w cały incydent.
Podsumowanie
NightSpire udowadnia coś jeszcze. Nowoczesne kampanie ransomware coraz rzadziej opierają się na spektakularnych exploitach. Znacznie częściej wykorzystują takie rzeczy jak:
- legalne narzędzia administracyjne,
- błędy konfiguracyjne,
- słabe hasła,
- brak segmentacji sieci
- czy zbyt szerokie uprawnienia.
Sprawia to, że granica między „normalną administracją” a aktywnością atakującego staje się coraz bardziej rozmyta. Im bardziej normalnie wygląda atak, tym trudniej go wykryć na czas. Wszystko dlatego, że wiele organizacji nadal nie potrafi skutecznie odróżnić zwykłej administracji od początku realnego ataku.
Popularne
7-Zip podatny na NTFS Heap Overflow
Fałszywe ChatGPT i Claude infekują komputery. Cyberprzestępcy wykorzystują boom na AI
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
Account Discovery w Entra ID, czyli nie da się zarządzać dostępem, którego nie widać
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
