Spirals ransomware шифрує мережу менш ніж за 24 години

Symantec описала атаку Spirals ransomware, яка пройшла шлях від відкритого IIS-сервера до шифрування мережі менш ніж за 24 години. Перевірте індикатори та пріоритети реагування.

Spirals ransomware затягує сервери й робочі станції у спіраль шифрування за 24 години.

Symantec описала атаку Spirals ransomware, яка пройшла шлях від відкритого в Інтернет IIS-сервера до шифрування всієї мережі менш ніж за 24 години. У червні 2026 року постраждала одна IT-компанія в Південній Азії; доказів масової кампанії поки немає. Водночас швидкість атаки важлива для захисників Windows-мереж: до шифрування зловмисники розгорнули тунелі, викрали облікові дані та використали PsExec на багатьох системах.

Як розвивалася атака Spirals

Зловмисники спочатку скомпрометували публічний IIS-сервер і завантажили ASP.NET web shell. У первинному звіті не названо початкову вразливість, тому не варто зводити інцидент до одного конкретного патча IIS. Після проникнення оператор створив кілька каналів доступу й атакував понад десяток систем.

ЕтапПідтверджена активність
Початковий доступВідкритий IIS-сервер запускав ASP.NET web shell. Конкретний CVE не названо.
Закріплення й віддалений доступОператор увімкнув RDP, створив локальний акаунт і розгорнув revsocks, Chisel та перейменований Cloudflare Tunnel.
Крадіжка облікових данихАтака зберегла SAM hive, а пізніше використала rundll32.exe разом із comsvcs.dll для отримання пам’яті LSASS на кількох вузлах.
Послаблення захисту й відновленняPowerShell-команда вимкнула захист Defender і зупинила сервіси backup, database, mail та virtualization продуктів.
Шифрування мережіPsExec від SYSTEM розповсюдив Rust-шифрувальник, замаскований під bitsadmin.exe, по домену.

Оператор розміщував payload у Windows, Desktop, SYSVOL, мережевих папках і Temp. Файли понад 5 МБ шифрувалися окремими фрагментами для прискорення процесу. Записка C:\RECOVERY_SECTION.log погрожувала опублікувати викрадені дані через шість днів, тобто це був інцидент подвійного вимагання.

Індикатори Spirals ransomware для перевірки

Знайоме ім’я файлу не доводить зараження. Windows має легітимний підписаний Microsoft bitsadmin.exe; перевіряйте цифровий підпис, хеш, parent process, час створення й пов’язану активність. Точний хеш Spirals та поєднання тунелів, викрадення credentials і швидкого lateral movement є сильнішими доказами.

ІндикаторЩо він означає
0f9574dc38e5c34a31153f0bcc603c6ec29cb3bf65c3d25380dbe86d42573141SHA-256 дослідженого Spirals payload, який мав назви bitsadmin.exe і vbr2116.exe.
C:\RECOVERY_SECTION.logRansom note, записана на системний диск після шифрування.
4cab935d0ec400059a3fcdc95b6623efdd51a61dff401fba8d5da244cc2de649SHA-256 виявленого reverse proxy revsocks.exe.
7f0d49b11d0a3697685622ce510c570199bf2dc76515b3f9a6b6735de8c9134bSHA-256 виявленого інструмента tunn.exe.
185.141.216[.]194Зовнішня адреса, використана для staging інструментів і підтримки доступу.
computer.kplus[.]com і beta.padmin[.]comДефанговані staging-домени зі звіту про інцидент.

Кому потрібно діяти

Підтверджена жертва — організація з публічним IIS-сервером і доменом Windows. Даних про масову кампанію проти домашніх користувачів немає. Розпочинайте пошук, якщо IIS запускає неочікувані cmd.exe або powershell.exe, з’явилися нові акаунти чи RDP-доступ, тунельні програми працюють із web або Tasks folders, а WMI та PsExec раптово звертаються до багатьох систем.

Не чекайте ransom note, якщо вже бачите precursor-активність. Досліджений оператор викрав credential material і створив резервні канали віддаленого доступу до початку шифрування, тому видалення лише фінального payload не повертає довіру до мережі.

Що робити зараз

  1. Ізолюйте уражені сервери й сегменти. Від’єднайте їх від production, VPN, shared storage та management networks. Якщо шифрування триває, спочатку зупиніть поширення.
  2. Збережіть докази. Зберіть IIS, Windows Security, PowerShell, Defender, RDP, WMI, PsExec, firewall, proxy та EDR logs. За можливості створіть образи критичних вузлів до видалення інструментів.
  3. Змініть скомпрометовані облікові дані з чистої системи. Скиньте domain-admin, service, backup та інші акаунти, використані на уражених вузлах; завершіть активні сеанси й перевірте нові локальні акаунти.
  4. Перевірте інші вузли. Шукайте опубліковані хеші, дефанговану інфраструктуру, RECOVERY_SECTION.log, неочікувані тунелі, credential dumping через rundll32.exe comsvcs.dll та масове розгортання PsExec.
  5. Захистіть відновлення. Від’єднайте backup repositories від скомпрометованих credentials, перевірте immutable або offline copies і відновлюйте дані лише в чистому сегментованому середовищі.
  6. Розглядайте крадіжку даних окремо. Розшифрування файлів чи endpoint cleanup не скасовує викрадення паролів і документів. Залучіть incident-response команду, юристів, страховика та відповідні органи.

На ізольованій некерованій робочій станції повна перевірка Gridinsoft Anti-Malware може знайти пов’язані endpoint artifacts, але не розшифрує файли Spirals і не доведе, що вся мережа чиста. Для планування резервного копіювання й відновлення скористайтеся гайдом щодо програм-вимагачів.

Чого звіт не доводить

  • Підтверджено лише одну мережу жертви; великої кампанії Spirals не встановлено.
  • У звіті не названо вразливість IIS, використану для початкового доступу.
  • Саме ім’я bitsadmin.exe не є доказом шкідливості.
  • Публічного дешифратора або гарантованого способу відновлення не задокументовано.

Це швидке ручне проникнення в корпоративну мережу, а не масове зараження через consumer download. Для порівняння, GigaWiper може перейти від шпигування до стирання чи псевдовимагання, тоді як Spirals використала викрадення credentials, lateral movement і зупинку сервісів для підготовки скоординованого шифрування.

Джерела

  1. Bill Toulas. “New Spirals ransomware encrypts victim network in under 24 hours.” BleepingComputer, 16 липня 2026 року; матеріал за аналізом Symantec Threat Hunter Team. опис інциденту.
  2. Cybersecurity and Infrastructure Security Agency. “#StopRansomware Guide.” CISA, дата доступу 16 липня 2026 року. рекомендації з реагування.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.