
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Spirals to nowo opisana rodzina ransomware, która według dostępnych analiz potrafi przejść pełny cykl ataku — od uzyskania dostępu początkowego, przez kradzież danych, po szyfrowanie systemów — w czasie krótszym niż 24 godziny. Dla zespołów bezpieczeństwa oznacza to bardzo ograniczone okno na wykrycie intruza, izolację zasobów i powstrzymanie rozprzestrzeniania się incydentu.
To przykład nowoczesnego ransomware prowadzonego w modelu wieloetapowym, gdzie celem nie jest wyłącznie zablokowanie plików, ale również przejęcie kontroli nad środowiskiem, osłabienie mechanizmów obronnych i zwiększenie presji na ofiarę poprzez groźbę ujawnienia skradzionych danych.
W skrócie
- Spirals został zaobserwowany podczas ataku na firmę świadczącą usługi IT w Azji Południowej.
- Początkowy dostęp uzyskano przez publicznie wystawiony serwer IIS.
- Napastnik wdrożył web shell ASP.NET, przeprowadził eskalację uprawnień i ruch boczny.
- Przed szyfrowaniem wyłączono mechanizmy ochronne oraz zatrzymano usługi związane z backupem, bazami danych i wirtualizacją.
- Ransomware opisano jako napisane w Rust, wykorzystujące AES-128 i ochronę kluczy opartą o ECDH P-256.
- Atak miał charakter podwójnego wymuszenia, obejmując szyfrowanie i groźbę publikacji wykradzionych danych.
Kontekst / historia
W ostatnich latach ransomware wyraźnie ewoluował w kierunku szybkich, ręcznie prowadzonych operacji, w których operatorzy dążą do pełnego przejęcia środowiska przed uruchomieniem fazy destrukcyjnej. Zamiast przypadkowego szyfrowania pojedynczych urządzeń, celem staje się osłabienie obrony, przejęcie poświadczeń oraz objęcie zasięgiem jak największej liczby systemów.
Spirals wpisuje się w ten trend, pokazując, że nawet mniej znana rodzina zagrożeń może działać z dużą dojrzałością operacyjną. Szczególnie alarmujące jest tempo ataku, ponieważ przejście od podatnej usługi brzegowej do szyfrowania wielu hostów w mniej niż dobę znacząco ogranicza skuteczność tradycyjnych, ręcznych procesów reagowania.
Analiza techniczna
Początkowy wektor wejścia stanowił publicznie dostępny serwer Internet Information Services. Po kompromitacji napastnik przesłał web shell oparty na ASP.NET, co umożliwiło zdalne wykonywanie poleceń i rozpoznanie środowiska. Następnie ominął mechanizmy User Account Control, włączył zdalny pulpit oraz utworzył lokalne konto dla utrzymania trwałego dostępu.
Kolejna faza obejmowała pozyskanie poświadczeń. Wskazano na zrzut gałęzi rejestru SAM oraz pamięci procesu LSASS, co sugeruje próbę przejęcia haseł i materiału uwierzytelniającego potrzebnego do dalszego poruszania się po infrastrukturze. Takie działania są typowe dla operatorów ransomware, którzy chcą szybko zdobyć uprawnienia administracyjne i rozszerzyć zasięg incydentu.
Ruch boczny realizowano przy użyciu WMI, a intruz przemieszczał się do ponad tuzina systemów. Jednocześnie zestawiono dodatkowe kanały zdalnego dostępu z wykorzystaniem narzędzi takich jak revsocks, Chisel oraz tunele Cloudflare. Taka redundancja utrudnia obrońcom odcięcie napastnika od środowiska, ponieważ zamknięcie jednego kanału nie musi oznaczać zakończenia aktywności.
Przed uruchomieniem ransomware przygotowano środowisko do fazy destrukcyjnej. Za pomocą skryptu PowerShell wyłączano Microsoft Defender, usuwano definicje zagrożeń i zatrzymywano usługi związane z kopiami zapasowymi, bazami danych oraz platformami wirtualizacyjnymi. Tego rodzaju działania mają ograniczyć wykrywalność i utrudnić szybkie odtworzenie systemów po incydencie.
Właściwy ładunek ransomware wdrożono w czasie krótszym niż 24 godziny od uzyskania dostępu początkowego. Plik był maskowany nazwą bitsadmin.exe, co mogło utrudniać szybką identyfikację w środowiskach opartych na prostych regułach detekcji. Do rozesłania ładunku wykorzystano PsExec uruchamiany z uprawnieniami SYSTEM, co wskazuje na scentralizowaną i dobrze przygotowaną fazę szyfrowania.
Pod względem technicznym Spirals został opisany jako ransomware napisany w Rust. Do szyfrowania danych używa kluczy AES-128, a ich zabezpieczenie oparto na mechanizmie ECDH P-256 kontrolowanym przez napastnika. Dla plików większych niż 5 MB stosowane jest szyfrowanie przerywane, czyli obejmujące tylko fragmenty danych, co znacząco przyspiesza proces blokowania dostępu do zasobów.
Po zakończeniu operacji na dysku C:\ pozostawiana jest nota okupu o nazwie RECOVERY_SECTION.log. Ofiara otrzymuje informację o konieczności negocjacji oraz groźbę publikacji wykradzionych danych w ciągu sześciu dni. Oznacza to klasyczny model podwójnego wymuszenia, w którym nawet skuteczne odtworzenie systemów z kopii zapasowych nie eliminuje ryzyka naruszenia poufności informacji.
Konsekwencje / ryzyko
Najpoważniejszym ryzykiem związanym ze Spirals jest bardzo krótki czas realizacji całego ataku. Jeśli organizacja nie wykryje naruszenia na etapie web shella, pozyskiwania poświadczeń lub wyłączania zabezpieczeń, późniejsze fazy mogą rozwinąć się błyskawicznie. W praktyce oznacza to jednoczesne zagrożenie dla dostępności, integralności i poufności danych.
Szczególnie groźne jest zatrzymywanie usług backupowych, bazodanowych i wirtualizacyjnych. Taki scenariusz może prowadzić do przestoju kluczowych procesów biznesowych, utraty dostępu do danych operacyjnych, problemów w środowiskach produkcyjnych oraz znaczącego wydłużenia czasu przywracania działania po incydencie.
Ryzyko dodatkowo zwiększa wykorzystanie wielu technik zdalnego dostępu i ruchu bocznego. Nawet częściowe wykrycie ataku może nie wystarczyć do jego zatrzymania, jeśli napastnik utrzyma alternatywne kanały komunikacji lub przejęte konta uprzywilejowane. Presja związana z groźbą ujawnienia danych rozszerza też skutki incydentu na obszar zgodności, reputacji i odpowiedzialności kontraktowej.
Rekomendacje
Organizacje powinny przede wszystkim ograniczyć powierzchnię ataku usług brzegowych. Publicznie dostępne serwery IIS i inne systemy wystawione do internetu muszą być objęte rygorystyczną polityką aktualizacji, monitoringu i minimalizacji funkcji. Jeśli dana usługa nie musi być publiczna, warto ukryć ją za VPN, reverse proxy z dodatkowymi kontrolami dostępu lub całkowicie usunąć ekspozycję.
Niezbędne jest także wdrożenie skutecznej detekcji działań poeksploatacyjnych. Szczególną uwagę należy zwrócić na uruchamianie web shelli, zrzuty LSASS, dostęp do SAM, nietypowe użycie WMI, PsExec i PowerShella oraz nagłe zmiany w konfiguracji Defendera. Wysoką wartość mają również alerty dotyczące tworzenia nowych lokalnych kont administracyjnych i włączania RDP na hostach, gdzie nie jest to standardem.
W obszarze ochrony przed ransomware kluczowe jest zabezpieczenie kopii zapasowych przed modyfikacją i usunięciem. Obejmuje to kopie offline, mechanizmy immutable storage, separację tożsamości administracyjnych oraz regularne testy odtwarzania. Równie istotne są segmentacja sieci i ograniczanie możliwości ruchu bocznego między serwerami aplikacyjnymi, infrastrukturą backupową, systemami zarządzania i bazami danych.
Zalecane jest również wdrożenie kontroli aplikacyjnych oraz polityk ograniczających uruchamianie nieautoryzowanych binariów i skryptów. Rozwiązania EDR lub XDR powinny być skonfigurowane tak, aby utrudniać masowe wyłączanie zabezpieczeń i umożliwiać szybkie izolowanie hostów. W środowiskach Windows warto ograniczyć użycie narzędzi administracyjnych często nadużywanych przez operatorów ransomware.
Na poziomie organizacyjnym konieczne są procedury reagowania na szybkie incydenty ransomware. Plan powinien obejmować natychmiastową izolację systemów, blokadę kont, odcięcie kanałów zdalnego dostępu, zabezpieczenie artefaktów śledczych oraz sprawną współpracę zespołów bezpieczeństwa, operacji i działu prawnego. Przy atakach rozwijających się w mniej niż 24 godziny kluczowe znaczenie ma automatyzacja i gotowe playbooki.
Podsumowanie
Spirals pokazuje, że nowoczesny ransomware nie musi być powszechnie znany, aby stanowić poważne zagrożenie dla organizacji. Wystarczy skuteczny dostęp początkowy, szybka eskalacja uprawnień, przejęcie poświadczeń, wyłączenie mechanizmów ochronnych i sprawne wdrożenie ładunku, aby w ciągu jednej doby doprowadzić do pełnoskalowego incydentu.
Dla obrońców najważniejszy wniosek jest jednoznaczny: ochrona usług publicznych, wykrywanie aktywności poeksploatacyjnej, odporne kopie zapasowe oraz gotowość do natychmiastowej reakcji pozostają kluczowymi elementami obrony przed coraz szybszymi operacjami ransomware.
Źródła
- BleepingComputer — New Spirals ransomware encrypts victim network in under 24 hours — https://www.bleepingcomputer.com/news/security/new-spirals-ransomware-encrypts-victim-network-in-under-24-hours/
- Symantec Enterprise Blog — Spirals Ransomware Encrypts Corporate Network in Less Than a Day — https://security.com/threat-intelligence/spirals-ransomware-fast-attack