Ransomware : NightSpire, une opération à guichet fermé qui s'est ouverte

Incertitudes entre modèle fermé et RaaS

La définition de l'organisation de NightSpire constitue le premier point de divergence pour les analystes. D'un côté, des recherches de Halcyon soutiennent l'hypothèse d'un modèle fermé. Cette thèse suggère que le groupe garde le contrôle total de la chaîne cinétique d'attaque, de l'accès initial à l'extorsion, afin de préserver discrétion et qualité.

À l'inverse, HivePro estime que l'enseigne « fonctionne suivant le modèle du Ransomware-as-a-Service (RaaS) ». Cette contradiction pourrait indiquer une transformation interne, un passage d'une structure centralisée vers un modèle d'affiliation sélectif, ou l'utilisation de tiers distincts.

Cette incertitude affecte directement l'analyse forensique, car les indicateurs ne sont pas uniformes. Comme le souligne Huntress, « la réalité est qu'Akira, et beaucoup d'autres rançongiciels, sont distribués suivant un modèle d'affiliés », ce qui signifie que « très souvent, indicateurs ainsi que tactiques, techniques, et procédures (TTPs) vont varier d'une attaque à l'autre, même si les fichiers sont chiffrés avec le même ransçongiciel ». Pour les RSSI, cela signifie que la simple attribution à une enseigne ne garantit pas la prédictibilité de ses méthodes.

TTPs : du "Living-off-the-land" aux outils tiers

L'analyse des TTPs de NightSpire révèle une évolution notable entre ses premières campagnes et ses attaques plus récentes. Les rapports initiaux mentionnaient l'utilisation intensive d'outils natifs, ou "LOLBins", tels que PowerShell et WMI, pour la furtivité. Cependant, des investigations de Huntress montrent une rupture stratégique : les attaquants introduisent désormais des outils tiers, augmentant leur empreinte visible mais simplifiant l'exécution de tâches complexes.

Dans une récente campagne, l'acteur malveillant a installé Chrome Remoting Desktop ainsi qu'AnyDesk pour la persistance, suivi de tout le reste pour la collecte, la compression, et l'extraction de données. Cette approche contraste avec les opérations précédentes où les outils étaient déjà présents. Cette variation suggère que si des affiliés sont impliqués, ils pourraient utiliser des playbooks différents. De plus, le code du ransomware lui-même a évolué, avec des modifications dans les notes de rançon et les routines de chiffrement sur une période de quatre mois.

Vecteurs d'intrusion et stratégie d'élévation de privilèges

La stratégie d'intrusion observée avec NightSpire repose sur une exploitation multicouche de la surface d'attaque. L'intrusion initiale est fréquemment passée par l'exploitation de vulnérabilités connues, notamment la faille CVE-2024-55591 sur FortiOS, ou par des attaques par force brute sur RDP.

Une fois à l'intérieur, l'élévation de privilèges est rapide. L'utilisation de Mimikatz pour l'extraction de credentials et de WinSCP pour la collecte de données est documentée. Selon Halcyon, « une fois entrés, ils avancent rapidement : PowerShell, scripts, fichiers batch, le tout pensé pour déposer les charges utiles et faire tomber les outils de sécurité ».

L'enseigne apparaît avoir un faible pour les entreprises de taille intermédiaire. La progression est systématique : reconnaissance, déplacement latéral via SMB ou RDP, et collecte. Cette méthode « bas-bruit, haute pression » permet aux attaquants de rester furtifs tout en imposant une pression rapide, indique Halcyon.

L'impact technique de NightSpire se distingue par son algorithme de chiffrement hybride et sa stratégie d'extorsion agressive. Le chiffrement combine AES-256 et RSA-2048, optimisé pour les grands fichiers. Des rapports techniques indiquent que le ransomware de NightSpire utilise le chiffrement par blocs pour ses performances et son efficacité, pour des extensions telles que .iso, .vhdx, et .vmdk. Cette approche permet un gain de temps significatif. 

Impact financier

L'impact de NightSpire dépasse le simple chiffrement, touchant directement la réputation et la continuité des activités métiers. Les cibles incluent la distribution, la santé et les services financiers, avec une présence mondiale. Les demandes de rançon varient de 150 000 à 2 millions de dollars, mais le montant total des pertes potentielles est considérable.

L'absence de modification du fond d'écran ou de suppression systématique des copies shadow rend le processus moins visible, augmentant le temps de détection et le risque de perte de données critiques. 

Résilience opérationnelle

Face à la sophistication de NightSpire, la réponse défensive ne peut se limiter à la mise à jour des signatures. La stratégie doit être multidimensionnelle. Premièrement, la sécurité des points d'entrée est cruciale. Hive Pro recommande ainsi d'appliquer les correctifs pour les pare-feu, les VPNs, et les équipements FortiOS, tout en limitant RDP et en appliquant l'authentification à facteurs multiples (MFA).

En outre, la surveillance des terminaux doit être renforcée pour détecter l'installation d'outils tiers inusuels. L'implémentation de solutions EDR/XDR pour détecter les comportements anormaux, tels que la création de fichiers avec l'extension .nspire, est indispensable. La segmentation du réseau et la mise en place de sauvegardes hors ligne restent les dernières lignes de défense.