Ransomware NightSpire

Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grandes.

Recientemente, se ha observado un nuevo grupo en la escena del mundo cibercriminal; este grupo se hace llamar NightSpire. La primera víctima de este grupo data del 12 de marzo de 2025, aunque no fue solo una, sino un conjunto de 6 víctimas publicadas en esa misma fecha. Hoy en día, ya cuenta con 29 víctimas listadas en su sitio de filtraciones, una de ellas es de México. 

La forma de operar de este ransomware es la común en este tipo de grupos: utiliza técnicas de doble extorsión, extrayendo los datos de la víctima para luego exfiltrarlos a sus servidores. Una vez hecho esto, procede a cifrar los archivos con el fin de pedir un rescate; de lo contrario, los datos serán publicados en su sitio de filtraciones.

Imagen del sitio de filtraciones de NightSpire [1] 

Nightspire cuenta con una pestaña para conocer acerca del grupo; sin embargo, esta parece tener un propósito más intimidatorio o amenazante para quienes acceden a sus páginas de filtraciones. 

A screenshot of a website AI-generated content may be incorrect.

Imagen de la pestaña “About” [2] 

El método de contacto de este grupo es a través de email y Telegram principalmente, algo un poco inusual, pues generalmente es por chats en la red onion, pero no es el único grupo en utilizar este método. 

Hay muchos indicadores por los cuales se cree que es un grupo que se acaba de formar. Los principales son la falta de sofisticación del grupo, así como la falta de seguridad por parte de sus integrantes. Esto se demuestra al utilizar direcciones de Gmail para la comunicación con la víctima, en lugar de otras alternativas más orientadas al anonimato. 

Se cree que este grupo tiene cierta relación con otra operación de ransomware llamada rbfs, debido a que se ha visto en foros a un usuario llamado “xdragon128”, el cual promociona el ransomware NightSpire, pero con una víctima que fue cobrada por rbfs. 

Imagen del usuario xdragon128 promocionando el ransomware NightSpire [3] 

Aunque por el momento no se sabe mucho respecto a este ransomware es claro que esta en una actual expansión intentando atraer mas gente a su operación, así como ganar notoriedad en diversos foros. 

Indicadores de Compromiso:

IOC 

TIPO 

[email protected] 

email 

[email protected] 

email 

[email protected] 

email 

https://t.me/night_spire_team 

Telegram 

http://nspireyzmvapgiwgtuoznlafqvlyz7ey6himtgn5bdvdcowfyto3yryd.onion 

Url 

14.139.185.60 

IP 

WINDOWS-DTX-8GB 

Hostname 

XDRAGON-SERVER1 

Hostname 

Recomendaciones

  • Si alguna vulnerabilidad le afecta, considere actualizar o migrar a una versión con la vulnerabilidad corregida de acuerdo con la tabla de versiones afectadas. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multi-factor. 

Referencias

  1. RANSOMLOOK.IO (2025) Nightspire. Recuperado el 15 de abril del 2025 en: https://www.ransomlook.io/group/nightspire 
  2. Melillo, P. (2025. Marzo 12) NightSpire: A New Player in the Ransomware Landscape. Recuperado el 15 de abril del 2025 en: https://www.redhotcyber.com/en/post/nightspire-a-new-player-in-the-ransomware-landscape/ 

  3. SRM. (2025. Marzo 25) Ransomware in focus: Meet NightSpire. Recuperado el 15 de abril del 2025 en: https://www.s-rminform.com/latest-thinking/ransomware-in-focus-meet-nightspire 

  4. NOTICIAS UNDERCODE (2025. Marzo 13) NightSpire: El auge de una nueva amenaza de ransomware. Recuperado el 15 de abril del 2025 en: https://undercodenews.com/nightspire-the-rise-of-a-new-ransomware-threat/ 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Grupo RedGolf
Publicado hace 10 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch
Publicado hace 3 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire
Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

...
Grupo RedGolf
Publicado hace 10 horas 25-04-2025
Leer más
...
Vulnerabilidad Critica en FortiSwitch
Publicado hace 3 días 22-04-2025
Leer más
...
Ransomware NightSpire
Publicado hace 1 semana 16-04-2025
Leer más