NightSpire: o grupo de ransomware com 259 vítimas que mistura dupla extorsão e ferramentas legítimas para devastar empresas

Um novo grupo, um ritmo alarmante de expansão

Em menos de 18 meses de operação, o grupo de ransomware NightSpire acumulou 259 vítimas espalhadas por dezenas de países — um ritmo de crescimento que chama a atenção de pesquisadores de segurança e coloca a ameaça entre as mais monitoradas de 2026. Surgido em fevereiro de 2025 e reorganizado a partir de uma operação anterior chamada Rbfs em março do mesmo ano, o grupo é classificado como oportunista: não persegue setores específicos nem perfis de empresa definidos, atacando qualquer organização com brechas exploráveis. Saúde, educação, governo, finanças, manufatura, hotelaria, tecnologia e logística já figuraram na lista de vítimas, com empresas nos Estados Unidos, Turquia, Hong Kong, Japão, Taiwan, México, Espanha e Egito entre os mais afetados.

A cadeia de ataque: ferramentas comuns, dano extraordinário

O que torna o NightSpire particularmente perigoso não é a sofisticação técnica do seu código — o ransomware é desenvolvido em Go, uma linguagem de programação moderna e portável —, mas sim a habilidade com que seus operadores combinam ferramentas legítimas do dia a dia corporativo para conduzir ataques devastadores. O ponto de entrada preferido é o protocolo RDP (Remote Desktop Protocol) exposto à internet sem proteção adequada, uma vulnerabilidade surpreendentemente comum em ambientes corporativos ao redor do mundo. Uma vez dentro da rede, os invasores instalam aplicativos de acesso remoto como AnyDesk e Chrome Remote Desktop, configurados como serviços do Windows para garantir persistência — mesmo que o sistema seja reiniciado, o acesso dos atacantes permanece ativo.

Com a presença estabelecida, a fase de reconhecimento começa com o uso do Everything, um utilitário de busca de arquivos da voidtools amplamente conhecido entre profissionais de TI. O programa varre todas as unidades em busca de documentos sensíveis. Os arquivos selecionados são então comprimidos com proteção por senha via 7-Zip e enviados para a nuvem por meio do MEGAsync, cliente oficial do serviço de armazenamento MEGA. Somente após garantir que os dados já estão em posse do grupo é que o encryptor entra em cena: os arquivos da vítima recebem a extensão .nspire e uma nota de resgate é depositada em cada diretório afetado.

Dupla extorsão com pressão máxima

O modelo de dupla extorsão adotado pelo NightSpire vai além da criptografia tradicional. O grupo combina a ameaça de tornar os dados inacessíveis com a possibilidade real de publicação das informações roubadas em um site dedicado na rede Tor — caso a vítima se recuse a pagar. As táticas de pressão incluem prazos agressivos que podem chegar a apenas 48 horas, contato direto com funcionários da empresa visada e a publicação parcial de arquivos roubados como demonstração de capacidade. Se o pagamento ainda não vier, os operadores ameaçam vender os dados a outros agentes maliciosos. Em abril de 2026, sinais de que o grupo estava migrando para um modelo de ransomware-as-a-service (RaaS) surgiram na comunidade de threat intelligence, o que poderia ampliar ainda mais o alcance das operações ao permitir que afiliados conduzam ataques em troca de uma fatia do resgate.

Quem está por trás do NightSpire

Pesquisadores da Barracuda Networks identificaram dois operadores centrais pelo codinome xdragon128 e cuteliyuan. O histórico do grupo sugere raízes anteriores: xdragon128 já havia colaborado com outro ator chamado Paranodeus na promoção de um conjunto de ferramentas baseado em Python, o Parano, desde meados de 2024. Evidências de infraestrutura apontam para um nexo operacional com ligações à Índia — um endereço IP associado ao grupo foi rastreado até a Kerala Agricultural University —, com possível envolvimento de falantes de chinês, inferido a partir de marcadores culturais identificados no site de vazamento. Apesar da escalada rápida, o grupo cometeu erros operacionais reveladores: o uso de contas Gmail para comunicações com vítimas e a exposição de nomes de servidores diretamente atribuíveis aos handles dos operadores são falhas que facilitaram o rastreamento por analistas.

Como se proteger

A cadeia de ataque do NightSpire aponta diretamente para as medidas de defesa mais eficazes. Eliminar ou proteger adequadamente os serviços RDP expostos à internet — com autenticação multifator e acesso restrito por VPN — bloqueia o principal vetor de entrada. Monitorar instalações não autorizadas de ferramentas de acesso remoto como AnyDesk e Chrome Remote Desktop em ambientes corporativos é igualmente crítico. A detecção de uploads em massa para serviços de nuvem como MEGA pode sinalizar estágios avançados de exfiltração antes que a criptografia ocorra. Para organizações que ainda não mapearam sua exposição ao RDP, o relatório do NightSpire serve como um lembrete urgente: a simplicidade do vetor de entrada contrasta diretamente com a gravidade das consequências.

Fonte: SOC Prime – NightSpire Ransomware Attack Chain, Tools and Tactics. Informações corroboradas por Barracuda Networks Blog, Picus Security e AttackIQ.