Spirals: новая атака шифровальщика началась с компрометации IIS

Стремительная угроза: новый ransomware Spirals наносит удар по ИТ-сектору Южной Азии

В июне 2026 года специалисты зафиксировали целенаправленную атаку на компанию, предоставляющую ИТ-услуги в Южной Азии. Злоумышленники применили ранее неизвестный ransomware Spirals, развернув его в рамках схемы double extortion. Инцидент выделяется исключительно высокой скоростью выполнения: от первоначального проникновения до полномасштабного шифрования сети прошло менее 24 часов.

От web shell до полного контроля за часы

Точкой входа послужил доступный из интернета web-сервер IIS. Атака стартовала с загрузки ASP.NET web shell, открывшего злоумышленникам путь к выполнению команд. Ключевые шаги начальной фазы:

  • Загрузка web shell на скомпрометированный сервер;
  • Выполнение команд через cmd.exe и powershell.exe;
  • Обход User Account Control (UAC) для повышения привилегий;
  • Активация Remote Desktop Protocol (RDP) для постоянного удаленного доступа;
  • Дамп Security Account Manager (SAM) и извлечение учетных данных.

Получив привилегированный доступ, атакующие отключили защиту конечных точек и приступили к горизонтальному перемещению. Для этого использовались техники на основе WMI, а с нескольких машин проводился сбор памяти процесса LSASS с задействованием rundll32.exe. Управляющий канал был организован через обратный SOCKS-прокси revsocks, который взаимодействовал через порт 443, маскируя вредоносный трафик под легитимный.

Молниеносное развертывание шифровальщика

Фаза активного шифрования стартовала менее чем через сутки после первоначального взлома. С помощью легитимной утилиты PsExec и исполняемого файла, маскирующегося под bitsadmin.exe, злоумышленники запустили процесс шифрования по всей сети. Предварительно были отключены ключевые меры безопасности и остановлены критически важные службы, включая системы резервного копирования и базы данных. Масштаб и скорость заражения указывают на то, что атакующие заранее составили список целевых машин, получив его во время фазы первоначального доступа.

Анатомия Spirals: Rust, AES-128 и ECDH

Spirals представляет собой ransomware, разработанный на языке Rust. Это обеспечивает высокую производительность и затрудняет статический анализ. Для шифрования файлов применяется алгоритм AES-128. Ключи шифрования файлов обертываются с использованием открытых ключей ECDH P-256 — гибридная схема, не позволяющая восстановить данные без закрытого ключа атакующих. Подобный подход сочетает скорость симметричного шифрования с надежной асимметричной защитой ключа.

Double extortion и маскировка

Как и большинство современных вымогательских группировок, операторы Spirals использовали тактику double extortion. Украденные данные угрожали опубликовать в случае отказа платить выкуп. Ransom note был оставлен в системе в виде файла C:RECOVERY_SECTION.log, а для переговоров злоумышленники поддерживали onion site. На протяжении всей операции они демонстрировали продуманную обфускацию и стратегическое размещение артефактов, чтобы увеличить охват полезной нагрузки и избежать обнаружения.

Индикаторы и прогнозы

Расследование инцидента позволило выявить ряд индикаторов компрометации (IOCs), включая SHA256-хеши, относящиеся к самому шифровальщику и сопутствующим инструментам. Хотя Spirals пока не наблюдался за пределами этой атаки, его отточенная функциональность и методичное выполнение свидетельствуют о высокой квалификации разработчиков. Эксперты не исключают появления новых кампаний с использованием данного ransomware и рекомендуют организациям усилить мониторинг сетевой активности, ограничить доступ к критичным службам и регулярно обновлять индикаторы угроз на основе опубликованных IOCs.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: