Spirals ransomware

Editors' Pick

A Symantec Threat Hunter Team egy korábban ismeretlen Spirals zsarolóvírust azonosított, amelyet egy dél-ázsiai IT-szolgáltató ellen vetettek be 2026 júniusában. A támadás legfontosabb jellemzője a rendkívüli sebesség volt, a kezdeti kompromittálástól a teljes hálózati titkosításig kevesebb mint 24 óra telt el.

A Spirals Rust nyelven íródott, teljes értékű zsarolóvírus. A fájlokat egyedi AES-128 kulcsokkal titkosítja, amelyeket a támadók ECDH P-256 nyilvános kulcsával csomagol be. Az 5 MB-nál nagyobb fájloknál intermittent titkosítást alkalmaz, ami jelentősen felgyorsítja a műveletet. A váltságdíjüzenet a C:\RECOVERY_SECTION.log fájlba kerül, és hatnapos határidőt szab az ellopott adatok nyilvánosságra hozatala előtt, vagyis klasszikus double extortion modellt követ. 

A Symantec jelentése szerint a zsarolóvírus-kampányok működése alapvetően átalakult, a hangsúly egyre inkább a többlépcsős zsarolásra és a pszichológiai nyomásgyakorlásra helyeződik, miközben a fájlok titkosítása már nem minden esetben elsődleges cél. A kutatók azt figyelték meg, hogy a csoportok a kezdeti váltságdíjkövetelés elutasítása után újabb és újabb nyomásgyakorlási módszereket vetnek be – például közvetlenül megkeresik az ügyfeleket, üzleti partnereket vagy alkalmazottakat, kiszivárogtatják az ellopott adatok egy részét, illetve újabb fizetési határidőket szabnak. Ez egy lefelé tartó spirált indít el, amelyben a támadók folyamatosan növelik a nyomást annak érdekében, hogy az áldozat végül fizessen. A titkosítás mellett ezért ma már az adatlopás, az üzleti működés megzavarása és a reputációs károk okozása is a zsarolási stratégia szerves része.

A jelentés szerint a támadók egyre professzionálisabban működnek, külön csapatok foglalkoznak a behatolással, az adatlopással, a tárgyalásokkal és a nyilvánosság kezelésével, miközben a ransomware már csak egy eleme a teljes extorziós modellnek. A kutatók arra is felhívják a figyelmet, hogy a sikeres helyreállítás ma már nem tekinthető az incidens lezárásának. Még akkor is jelentős kockázat marad, ha az adatok visszaállíthatók biztonsági mentésből, mivel az ellopott információk későbbi kiszivárogtatása, értékesítése vagy ismételt zsarolási kísérletek hónapokkal később is bekövetkezhetnek. A Symantec szerint a szervezeteknek ezért a zsarolóvírus-incidenseket nem kizárólag helyreállítási feladatként, hanem hosszú távú adatvédelmi és válságkezelési eseményként kell kezelniük, amelynek következményei jóval túlmutatnak a rendszerek titkosításán.

FORRÁS