Symantec описала атаку Spirals ransomware, яка пройшла шлях від відкритого в Інтернет IIS-сервера до шифрування всієї мережі менш ніж за 24 години. У червні 2026 року постраждала одна IT-компанія в Південній Азії; доказів масової кампанії поки немає. Водночас швидкість атаки важлива для захисників Windows-мереж: до шифрування зловмисники розгорнули тунелі, викрали облікові дані та використали PsExec на багатьох системах.
Як розвивалася атака Spirals
Зловмисники спочатку скомпрометували публічний IIS-сервер і завантажили ASP.NET web shell. У первинному звіті не названо початкову вразливість, тому не варто зводити інцидент до одного конкретного патча IIS. Після проникнення оператор створив кілька каналів доступу й атакував понад десяток систем.
| Етап | Підтверджена активність |
|---|---|
| Початковий доступ | Відкритий IIS-сервер запускав ASP.NET web shell. Конкретний CVE не названо. |
| Закріплення й віддалений доступ | Оператор увімкнув RDP, створив локальний акаунт і розгорнув revsocks, Chisel та перейменований Cloudflare Tunnel. |
| Крадіжка облікових даних | Атака зберегла SAM hive, а пізніше використала rundll32.exe разом із comsvcs.dll для отримання пам’яті LSASS на кількох вузлах. |
| Послаблення захисту й відновлення | PowerShell-команда вимкнула захист Defender і зупинила сервіси backup, database, mail та virtualization продуктів. |
| Шифрування мережі | PsExec від SYSTEM розповсюдив Rust-шифрувальник, замаскований під bitsadmin.exe, по домену. |
Оператор розміщував payload у Windows, Desktop, SYSVOL, мережевих папках і Temp. Файли понад 5 МБ шифрувалися окремими фрагментами для прискорення процесу. Записка C:\RECOVERY_SECTION.log погрожувала опублікувати викрадені дані через шість днів, тобто це був інцидент подвійного вимагання.
Індикатори Spirals ransomware для перевірки
Знайоме ім’я файлу не доводить зараження. Windows має легітимний підписаний Microsoft bitsadmin.exe; перевіряйте цифровий підпис, хеш, parent process, час створення й пов’язану активність. Точний хеш Spirals та поєднання тунелів, викрадення credentials і швидкого lateral movement є сильнішими доказами.
| Індикатор | Що він означає |
|---|---|
0f9574dc38e5c34a | SHA-256 дослідженого Spirals payload, який мав назви bitsadmin.exe і vbr2116.exe. |
C:\RECOVERY_SECTION.log | Ransom note, записана на системний диск після шифрування. |
4cab935d0ec40005 | SHA-256 виявленого reverse proxy revsocks.exe. |
7f0d49b11d0a3697 | SHA-256 виявленого інструмента tunn.exe. |
185.141.216[.]194 | Зовнішня адреса, використана для staging інструментів і підтримки доступу. |
computer.kplus[.]com і beta.padmin[.]com | Дефанговані staging-домени зі звіту про інцидент. |
Кому потрібно діяти
Підтверджена жертва — організація з публічним IIS-сервером і доменом Windows. Даних про масову кампанію проти домашніх користувачів немає. Розпочинайте пошук, якщо IIS запускає неочікувані cmd.exe або powershell.exe, з’явилися нові акаунти чи RDP-доступ, тунельні програми працюють із web або Tasks folders, а WMI та PsExec раптово звертаються до багатьох систем.
Не чекайте ransom note, якщо вже бачите precursor-активність. Досліджений оператор викрав credential material і створив резервні канали віддаленого доступу до початку шифрування, тому видалення лише фінального payload не повертає довіру до мережі.
Що робити зараз
- Ізолюйте уражені сервери й сегменти. Від’єднайте їх від production, VPN, shared storage та management networks. Якщо шифрування триває, спочатку зупиніть поширення.
- Збережіть докази. Зберіть IIS, Windows Security, PowerShell, Defender, RDP, WMI, PsExec, firewall, proxy та EDR logs. За можливості створіть образи критичних вузлів до видалення інструментів.
- Змініть скомпрометовані облікові дані з чистої системи. Скиньте domain-admin, service, backup та інші акаунти, використані на уражених вузлах; завершіть активні сеанси й перевірте нові локальні акаунти.
- Перевірте інші вузли. Шукайте опубліковані хеші, дефанговану інфраструктуру,
RECOVERY_SECTION.log, неочікувані тунелі, credential dumping черезrundll32.exe comsvcs.dllта масове розгортання PsExec. - Захистіть відновлення. Від’єднайте backup repositories від скомпрометованих credentials, перевірте immutable або offline copies і відновлюйте дані лише в чистому сегментованому середовищі.
- Розглядайте крадіжку даних окремо. Розшифрування файлів чи endpoint cleanup не скасовує викрадення паролів і документів. Залучіть incident-response команду, юристів, страховика та відповідні органи.
На ізольованій некерованій робочій станції повна перевірка Gridinsoft Anti-Malware може знайти пов’язані endpoint artifacts, але не розшифрує файли Spirals і не доведе, що вся мережа чиста. Для планування резервного копіювання й відновлення скористайтеся гайдом щодо програм-вимагачів.
Чого звіт не доводить
- Підтверджено лише одну мережу жертви; великої кампанії Spirals не встановлено.
- У звіті не названо вразливість IIS, використану для початкового доступу.
- Саме ім’я
bitsadmin.exeне є доказом шкідливості. - Публічного дешифратора або гарантованого способу відновлення не задокументовано.
Це швидке ручне проникнення в корпоративну мережу, а не масове зараження через consumer download. Для порівняння, GigaWiper може перейти від шпигування до стирання чи псевдовимагання, тоді як Spirals використала викрадення credentials, lateral movement і зупинку сервісів для підготовки скоординованого шифрування.
Джерела
- Bill Toulas. “New Spirals ransomware encrypts victim network in under 24 hours.” BleepingComputer, 16 липня 2026 року; матеріал за аналізом Symantec Threat Hunter Team. опис інциденту.
- Cybersecurity and Infrastructure Security Agency. “#StopRansomware Guide.” CISA, дата доступу 16 липня 2026 року. рекомендації з реагування.
