Spirals: новая атака шифровальщика началась с компрометации IIS
Стремительная угроза: новый ransomware Spirals наносит удар по ИТ-сектору Южной Азии
В июне 2026 года специалисты зафиксировали целенаправленную атаку на компанию, предоставляющую ИТ-услуги в Южной Азии. Злоумышленники применили ранее неизвестный ransomware Spirals, развернув его в рамках схемы double extortion. Инцидент выделяется исключительно высокой скоростью выполнения: от первоначального проникновения до полномасштабного шифрования сети прошло менее 24 часов.
От web shell до полного контроля за часы
Точкой входа послужил доступный из интернета web-сервер IIS. Атака стартовала с загрузки ASP.NET web shell, открывшего злоумышленникам путь к выполнению команд. Ключевые шаги начальной фазы:
- Загрузка web shell на скомпрометированный сервер;
- Выполнение команд через
cmd.exeиpowershell.exe; - Обход User Account Control (UAC) для повышения привилегий;
- Активация Remote Desktop Protocol (RDP) для постоянного удаленного доступа;
- Дамп Security Account Manager (SAM) и извлечение учетных данных.
Получив привилегированный доступ, атакующие отключили защиту конечных точек и приступили к горизонтальному перемещению. Для этого использовались техники на основе WMI, а с нескольких машин проводился сбор памяти процесса LSASS с задействованием rundll32.exe. Управляющий канал был организован через обратный SOCKS-прокси revsocks, который взаимодействовал через порт 443, маскируя вредоносный трафик под легитимный.
Молниеносное развертывание шифровальщика
Фаза активного шифрования стартовала менее чем через сутки после первоначального взлома. С помощью легитимной утилиты PsExec и исполняемого файла, маскирующегося под bitsadmin.exe, злоумышленники запустили процесс шифрования по всей сети. Предварительно были отключены ключевые меры безопасности и остановлены критически важные службы, включая системы резервного копирования и базы данных. Масштаб и скорость заражения указывают на то, что атакующие заранее составили список целевых машин, получив его во время фазы первоначального доступа.
Анатомия Spirals: Rust, AES-128 и ECDH
Spirals представляет собой ransomware, разработанный на языке Rust. Это обеспечивает высокую производительность и затрудняет статический анализ. Для шифрования файлов применяется алгоритм AES-128. Ключи шифрования файлов обертываются с использованием открытых ключей ECDH P-256 — гибридная схема, не позволяющая восстановить данные без закрытого ключа атакующих. Подобный подход сочетает скорость симметричного шифрования с надежной асимметричной защитой ключа.
Double extortion и маскировка
Как и большинство современных вымогательских группировок, операторы Spirals использовали тактику double extortion. Украденные данные угрожали опубликовать в случае отказа платить выкуп. Ransom note был оставлен в системе в виде файла C:RECOVERY_SECTION.log, а для переговоров злоумышленники поддерживали onion site. На протяжении всей операции они демонстрировали продуманную обфускацию и стратегическое размещение артефактов, чтобы увеличить охват полезной нагрузки и избежать обнаружения.
Индикаторы и прогнозы
Расследование инцидента позволило выявить ряд индикаторов компрометации (IOCs), включая SHA256-хеши, относящиеся к самому шифровальщику и сопутствующим инструментам. Хотя Spirals пока не наблюдался за пределами этой атаки, его отточенная функциональность и методичное выполнение свидетельствуют о высокой квалификации разработчиков. Эксперты не исключают появления новых кампаний с использованием данного ransomware и рекомендуют организациям усилить мониторинг сетевой активности, ограничить доступ к критичным службам и регулярно обновлять индикаторы угроз на основе опубликованных IOCs.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



