NightSpire-Ransomware nutzt RDP-Zugang und Remote-Admin-Tools für heimtückische Persistenz

NightSpire arbeitet nach einem Double-Extortion-Modell. Die Angreifer stehlen zunchst sensible Dateien aus der Umgebung des Opfers und verschlsseln anschlieend alles, was sie sehen. Weigert sich das Opfer, zu zahlen, drohen die Kriminellen, die gestohlenen Daten auf einer auf Tor basierenden Leck-Website zu verffentlichen.

Zwischen Mrz und Juni 2025 traf NightSpire mindestens 64 Organisationen in 33 Lndern; an der Spitze der Opferliste stand die Vereinigten Staaten, gefolgt, Hongkong, Japan, Taiwan, Mexiko, Spanien und gypten.

Analysten, die die Angriffs-Kette im Detail dokumentiert haben, stellten fest, dass der Verschlüsselungs-Engine auf Go basiert, einer Programmiersprache, die für die Erstellung, plattformübergreifenden Executables bekannt ist.

Sicherheitslage und Risiko

Die Malware fügt der.nspire-Erweiterung an jede gesperrte Datei an und hinterlässt in jedem betroffenen Ordner eine Lösegeldforderung. Bemerkenswerterweise verschlüsselt sie auch OneDrive-Dateien, ohne deren Erweiterungen zu ändern – ein Verhalten, das Opfer leicht überraschen kann.

Die Geschwindigkeit, mit der NightSpire seine Opferliste erweitert, ist alarmierend. Innerhalb die Betreiber über 45 Opfer auf ihrem eigenen Leck-Blog. Die Angriffe betreffen eine breite Palette, über Produktion, Gastgewerbe, IT-Dienstleistungen und Logistik.

Keine Branche scheint vor Angriffen sicher zu sein, und die globale Verbreitung der Opfer deutet auf eine gut koordinierte und motivierte Bedrohungsoperation hin.

Technik und Auswirkungen

In einem öffentlichten Bericht erklärte Picus Security, dass NightSpire für Verteidiger besonders besorgniserregend ist, weil es vertrauenswürdige Software gezielt einsetzt, um sich in den normalen Netzwerkverkehr einzufügen und so so lange wie möglich unbemerkt zu bleiben.

NightSpire-Ransomware nutzt RDP-Zugang und Remote-Admin-Tools NightSpire erlangt zunächst Zugriff über das Remote Desktop Protocol (RDP), eine legitime Windows-Funktion, die IT-Teams weltweit täglich nutzen.

Nach dem Eindringen installieren die Angreifer anstelle üren, die Sicherheitswarnungen auslösen könnten, weit verbreitete Remote-Verwaltungstools, um auf den kompromittierten Systemen einen stabilen立足punkt zu erhalten.

Technischer Hintergrund

Chrome Remote Desktop wurde auf mindestens zwei kompromittierten Maschinen installiert und läuft als permanenter Windows-Dienst unter dem Namen „Chrome Remote Desktop Service". Das mit dieser Installation verknüpfte Google-Konto lautet prince1990905@gmail[.]com und verdeutlicht, wie wenig Aufwand nötig war, um langfristigen Zugriff zu etablieren.

Auf einem separaten Endpunkt wurde AnyDesk installiert, wodurch sowohl ein Windows-Dienst als auch ein Startverknüpfung erstellt wurden, sodass das Programm bei jedem Neustart automatisch gestartet wird. Dieser Ansatz verschafft Angreifern einen erheblichen Vorteil.

Da diese Tools legitim sind und häufig für IT-Support-Zwecke genutzt werden, lösen sie deutlich seltener Alarmmeldungen in der Sicherheitsüberwachung aus. Bis die Verteidiger etwas Ungewöhnliches bemerken, kann sich der Angreifer bereits seit Tagen im Netzwerk befinden.

Erkennung, Exfiltration und Verschlüsselung im großen

Erkennung, Exfiltration und Verschlüsselung im großen Maßstab Nach der Sicherung der Persistenz rücken die Angreifer schnell dazu über, wertvolle Daten zu lokalisieren und zu sammeln.

Sie setzen Everything, eine kostenlose Dateisuchanwendung, die ganze Laufwerke in Sekunden durchsucht und es ihnen ermöglicht, sensible Dokumente nahezu sofort zu identifizieren. Anschließend werden die gezielt ausgewählten Ordner mit 7-Zip in passwortgeschützte Archive komprimiert, wodurch die Anzahl der zur Übertragung benötigten Dateien reduziert wird.

Diese Archive werden mit MEGAsync, einem kostenlosen Synchronisierungstool, das sich nahtlos in den normalen Arbeitsablauf einfügt, in den MEGA-Cloud-Speicher hochgeladen.

Anschließend wird der auf Go basierende

Anschließend wird der auf Go basierende Verschlüsselungsprogramm gestartet, der alle zugänglichen Laufwerke und Pfade durchläuft, jede Datei mit der Erweiterung.nspire umbennt und Lösegeldnotizen im gesamten System verteilt. Organisationen sollten auf unerwartete Nutzung Endgeräten achten.

Die Einschränkung des RDP-Zugriffs, die Durchsetzung der Multi-Faktor-Authentifizierung und das Blockieren nicht autorisierter Softwareinstallationen sind praktische Maßnahmen, die das Risiko erheblich reduzieren.

Sicherheitsteams können zudem NightSpire-Angriffsmuster an ihren eigenen Verteidigungsmaßnahmen simulieren, um Lücken zu identifizieren und zu schließen, bevor echte Angreifer dies tun.

Einordnung fuer Autofahrer

Indikatoren für Kompromittierungen (IoCs): SHA256-Hash: Indikator: bde50a42efc079edde1a314243ad339db2d42e343fbbcd39117803b0f5960355; Beschreibung: Dateiverschlüssler (enc.exe), 2. Dezember 2025. SHA256-Hash: Indikator: ad67031e2ca68764fe1a7d6632c02b02a299d59efb920710011a9a2ccf4399b7; Beschreibung: Dateiverschlüssler (enc.exe), 25. März 2026.

Dateierweiterung: Indikator:.nspire; Beschreibung: Erweiterung, die allen verschlüsselten Dateien angehängt wird. Erpresser-Notiz-Dateiname: Indikator: _nightspire_readme.txt; Beschreibung: Dateiname der Erpresser-Notiz aus dem Vorfall vom 2. Dezember 2025.

Erpresser-Notiz-Dateiname: Indikator: [nspire_msg].txt; Beschreibung: Dateiname der Erpresser-Notiz aus dem Vorfall vom 25. März 2026. E-Mail-Adresse: Indikator: prince1990905@gmail[.]com; Beschreibung: Google-Konto, das mit der Bereitstellung Verbindung steht, 24.–25. März 2026.

Technik und Auswirkungen

Verzeichnispfad: Indikator: C:\Users\[REDACTED]\Downloads\; Beschreibung: Vom Bedrohungsakteur genutzte Staging-Ordner, beobachtet am 25. März 2026 [Seite: 1]. Hinweis: IP-Adressen und Domains wurden absichtlich „defanged" (z. B. [.] ), um eine unbeabsichtigte Auflösung oder Hyperlinkierung zu verhindern.

Eine Wiederherstellung der ursprünglichen Schreibweise („refang") ist nur innerhalb kontrollierter Bedrohungsintelligenz-Plattformen wie MISP, VirusTotal oder Ihres SIEM zulässig. Tushar ist ein leitender Reporter für Cybersicherheit und Sicherheitsverletzungen.

Er spezialisiert sich auf die Berichterstattung über Nachrichten, Trends und neu auftretende Bedrohungen im Bereich der Cybersicherheit, Datenpannen sowie Malware-Angriffe. Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen. Windows Server 2016 Domain Controller kann bei Hostnamen mit 15 Zeichen ausfallen.

EU verhängt Rekord-Geldstrafe nach DMA gegen Google wegen Missbrauchs der Selbstvorzugung in der Suche. Kritische Memcached-SASL-Schwachstelle ermöglicht Angreifern die Inferenz gültiger Benutzernamen.