NightSpire ransomware là một mối đe dọa mới nổi, sử dụng cách tiếp cận tương đối đơn giản nhưng hiệu quả để xâm nhập hệ thống, duy trì hiện diện lâu dài và khóa quyền truy cập dữ liệu của nạn nhân. Chiến dịch này được ghi nhận từ đầu năm 2025 và đã ảnh hưởng đến nhiều ngành khác nhau, từ y tế, giáo dục đến tài chính và dịch vụ công nghệ. Cách thức vận hành của NightSpire ransomware cho thấy trọng tâm không chỉ nằm ở giai đoạn mã hóa mà còn ở việc ẩn mình trước khi bị phát hiện.
NightSpire ransomware và mô hình tống tiền kép
NightSpire ransomware hoạt động theo mô hình double extortion. Trước khi mã hóa dữ liệu, kẻ tấn công đánh cắp các tệp nhạy cảm từ môi trường của nạn nhân. Sau đó, chúng tiến hành mã hóa toàn bộ hệ thống hoặc dữ liệu có thể truy cập.
Nếu nạn nhân từ chối trả tiền chuộc, dữ liệu bị lấy cắp sẽ bị đe dọa công khai trên một website rò rỉ dùng hạ tầng Tor. Đây là điểm khiến NightSpire ransomware tạo ra rủi ro kép: vừa gián đoạn vận hành, vừa gây nguy cơ rò rỉ dữ liệu nhạy cảm.
Phạm vi ảnh hưởng của NightSpire ransomware
Theo tài liệu phân tích được công bố, từ tháng 3 đến tháng 6/2025, NightSpire ransomware đã tấn công ít nhất 64 tổ chức tại 33 quốc gia. Số lượng nạn nhân trên blog rò rỉ riêng của nhóm vận hành cũng tăng nhanh, với hơn 45 nạn nhân được ghi nhận chỉ trong ba tháng.
Các lĩnh vực bị ảnh hưởng trải rộng trên nhiều môi trường có mức độ nhạy cảm cao:
- Y tế
- Giáo dục
- Cơ quan hành chính
- Tài chính
- Sản xuất
- Khách sạn
- Dịch vụ CNTT
- Logistics
Mức độ lan rộng cho thấy đây là một cuộc tấn công mạng có chủ đích, tập trung vào các hệ thống có dữ liệu giá trị và khả năng chịu gián đoạn thấp.
Cách xâm nhập của NightSpire ransomware
Điểm đáng chú ý của NightSpire ransomware là việc sử dụng Remote Desktop Protocol (RDP) làm điểm vào ban đầu. RDP là một tính năng hợp lệ của Windows và thường được quản trị viên sử dụng hằng ngày, nên hoạt động truy cập ban đầu có thể hòa lẫn vào lưu lượng hợp pháp.
Sau khi vào được hệ thống, kẻ tấn công không dùng backdoor tùy biến dễ bị nhận diện. Thay vào đó, chúng cài các công cụ quản trị từ xa phổ biến để duy trì quyền truy cập và kéo dài thời gian ẩn nấp trong mạng nội bộ.
Các công cụ được lạm dụng để duy trì hiện diện
- Chrome Remote Desktop: Được triển khai trên ít nhất hai máy bị xâm nhập và chạy như một Windows service có tên Chrome Remote Desktop Service.
- AnyDesk: Được cài đặt trên một endpoint khác, đồng thời tạo service và shortcut khởi động cùng hệ thống.
- MEGAsync: Dùng để đồng bộ và tải dữ liệu ra hạ tầng lưu trữ đám mây.
- Everything: Công cụ tìm kiếm file nhanh, hỗ trợ quét toàn bộ ổ đĩa trong vài giây để xác định tài liệu quan trọng.
- 7-Zip: Dùng để nén dữ liệu mục tiêu thành file lưu trữ có mật khẩu.
Việc lạm dụng các công cụ hợp pháp khiến phát hiện xâm nhập khó hơn đáng kể, đặc biệt khi đội ngũ giám sát chưa đặt ngưỡng cảnh báo phù hợp cho hành vi sử dụng phần mềm quản trị từ xa bất thường.
Chuỗi tấn công và hành vi sau xâm nhập
Trong giai đoạn sau khi đã có foothold, NightSpire ransomware tiến hành các bước sau:
- Truy cập qua RDP.
- Cài đặt công cụ quản trị từ xa để giữ quyền kiểm soát.
- Dò tìm tài liệu và dữ liệu có giá trị bằng Everything.
- Nén dữ liệu thành archive bảo vệ bằng mật khẩu với 7-Zip.
- Đẩy archive lên MEGA thông qua MEGAsync.
- Kích hoạt bộ mã hóa viết bằng Go.
- Mã hóa tệp, đổi đuôi và rải ransom note trên hệ thống.
Chuỗi hành vi này thể hiện rõ mô hình ransomware kết hợp đánh cắp dữ liệu trước khi mã hóa. Trong bối cảnh đó, nguy cơ không chỉ là gián đoạn vận hành mà còn là đánh cắp dữ liệu và đe dọa công khai thông tin.
Hành vi mã hóa của NightSpire ransomware
Bộ mã hóa của NightSpire ransomware được xây dựng trên Go, ngôn ngữ thường được dùng để tạo các executable nhỏ gọn, đa nền tảng và khó bị nhận diện theo kiểu truyền thống.
Phần mềm độc hại này gắn phần mở rộng .nspire vào các tệp bị khóa và thả ransom note trong từng thư mục bị ảnh hưởng. Ngoài ra, nó còn mã hóa các tệp OneDrive mà không thay đổi phần mở rộng, làm cho việc nhận biết hậu quả ban đầu trở nên khó khăn hơn.
Hành vi giữ nguyên extension ở một số dữ liệu đồng bộ đám mây là chi tiết cần lưu ý trong quá trình phát hiện tấn công, vì các dấu hiệu trực quan không phải lúc nào cũng phản ánh đầy đủ mức độ hư hại.
IOC của NightSpire ransomware
Tài liệu gốc có đề cập mục Indicators of Compromise (IoCs), nhưng không cung cấp danh sách IOC cụ thể có thể trích xuất đầy đủ. Vì vậy, phần này chỉ ghi nhận các dấu hiệu hành vi đã được nêu rõ trong mô tả kỹ thuật.
- Đuôi file:
.nspire - Ransom note: Xuất hiện trong các thư mục bị ảnh hưởng
- Windows service bất thường:
Chrome Remote Desktop Service - Ứng dụng quản trị từ xa:
AnyDesk,Chrome Remote Desktop - Công cụ nén và di chuyển dữ liệu:
7-Zip,MEGAsync,Everything
Biện pháp giám sát và giảm thiểu rủi ro
Để giảm rủi ro bảo mật từ NightSpire ransomware, tài liệu phân tích khuyến nghị giám sát chặt việc sử dụng công cụ truy cập từ xa và ứng dụng đồng bộ đám mây trên endpoint. Các hệ thống phòng thủ nên coi đây là tín hiệu bất thường nếu không nằm trong baseline vận hành.
Một số biện pháp thực thi trực tiếp bao gồm:
- Hạn chế RDP chỉ cho phép từ các nguồn tin cậy.
- Bắt buộc MFA cho truy cập từ xa.
- Chặn cài đặt phần mềm trái phép trên máy trạm và máy chủ.
- Theo dõi service mới và shortcut khởi động bất thường.
- Giám sát hoạt động nén hàng loạt và upload dữ liệu ra cloud storage.
Đội ngũ an ninh có thể mô phỏng hành vi tấn công của NightSpire ransomware trong môi trường kiểm thử nội bộ để đánh giá khả năng phát hiện và phản ứng của hệ thống. Nguồn phân tích tham chiếu có thể xem tại Picus Security.
Điểm cần chú ý trong phát hiện xâm nhập
Khi xây dựng quy tắc IDS hoặc logic giám sát trên SIEM, các dấu hiệu kỹ thuật liên quan đến NightSpire ransomware nên được ưu tiên theo dõi gồm:
- RDP đăng nhập bất thường ngoài khung giờ vận hành.
- Cài đặt hoặc chạy các công cụ remote admin không được phê duyệt.
- Xuất hiện service mới có tên giống công cụ điều khiển từ xa.
- Hoạt động quét file tốc độ cao bằng
Everything. - Nén dữ liệu bằng
7-Ziptrước khi truyền ra ngoài. - Đồng bộ hoặc chuyển file sang hạ tầng lưu trữ đám mây như
MEGA.
Các hành vi này phù hợp với một chuỗi xâm nhập trái phép sử dụng công cụ hợp pháp để che giấu giai đoạn chuẩn bị trước khi triển khai payload mã hóa.
Tài liệu tham chiếu và nguồn phân tích
Thông tin kỹ thuật trong bài được đối chiếu từ báo cáo phân tích của Picus Security và tài liệu liên quan đến chiến dịch NightSpire ransomware. Tham chiếu bổ sung về bối cảnh theo dõi lỗ hổng và mối đe dọa có thể xem tại NVD – National Vulnerability Database.
