NightSpireランサムウェア、Chrome Remote Desktop悪用活動を確認

NightSpireランサムウェア、Chrome Remote Desktop悪用活動を確認

NightSpireランサムウェアは、2025年初頭以降に確認されたランサムウェア活動の一つとして報告されている。本件では、暗号化後にデータ公開を示唆する二重脅迫型の運用形態が確認されている。

分析によれば、初期3か月間で33カ国・64組織以上への影響が確認されており、米国を中心に、トルコ、香港、日本、台湾などでも関連活動が報告されている。

NightSpireでは、Chrome Remote DesktopやAnyDeskなどのリモート管理ツールを利用したアクセス手法が確認されている。これらはWindowsサービスとして動作し、既存システム環境内で運用される構成となっている。

侵入後には、「Everything」検索ツールを利用したファイル探索や、7-Zipによる圧縮処理が行われる。また、一部活動ではMEGAクラウドサービスを利用したデータ転送も確認されている。

暗号化ツールはGo言語で開発されており、Windows、Linux、macOS環境への対応が確認されている。暗号化対象ファイルには「.nspire」拡張子が追加される構成となっている。

さらに、本件ではOneDrive同期環境を含むクラウド連携データへの影響も報告されている。NightSpire関連活動では、オンプレミス環境とクラウド同期データを対象とした運用形態が確認されている。