← Home

Spirals: novo ransomware criptografa rede corporativa inteira em menos de 24 horas

O fato Uma nova variante de ransomware batizada de Spirals foi detectada em ataques reais com uma capacidade alarmante: criptografar redes corporativas inteiras em menos de 24 horas após o acesso inicial. Diferente de variantes tradicionais que levam dias ou semanas entre o comprometimento e a detonação — como LockBit (média de 7 dias) ou BlackCat (5 a 10 dias) — o Spirals comprime esse ciclo para menos de um dia útil, surpreendendo equipes de segurança que ainda operam no modelo de detecção lenta.

Contexto O ransomware de alto impacto tradicional segue um padrão conhecido: acesso inicial por phishing ou RDP exposto, movimentação lateral lenta e cuidadosa, exfiltração de dados, e só então a criptografia. Esse ciclo podia levar de 3 a 14 dias, dando tempo para que soluções de EDR e equipes de SOC identificassem anomalias. O Spirals representa uma aceleração radical desse modelo, possivelmente utilizando automação agressiva de descoberta de rede e propagação lateral via ferramentas legítimas de administração (LOLBins) como PsExec, WMIC e WinRM, associadas a varreduras rápidas de Active Directory.

Análise O encurtamento do tempo de criptografia tem implicações profundas para a arquitetura de defesa corporativa. O modelo tradicional de detecção de ransomware depende de janelas de 24 a 72 horas para que equipes de SOC identifiquem movimentação lateral suspeita, colem evidências e acionem playbooks de contenção. Com o Spirals, essa janela se reduz drasticamente — se a criptografia começa em horas, a detecção precisa ser quase em tempo real, e a resposta, automatizada. A velocidade sugere que os operadores do Spirals automatizaram fortemente as etapas de reconhecimento interno, possivelmente com scripts que mapeiam domínios Active Directory, identificam controladores e distribuem o payload simultaneamente em múltiplos hosts. Isso também reduz o tempo de exfiltração, indicando que talvez os atacantes estejam priorizando a interrupção operacional sobre a extorsão dupla — um deslocamento preocupante no modelo de negócios do ransomware.

O que observar A evolução do Spirals nas próximas semanas: se grupos afiliados adotarem a plataforma como serviço (RaaS), o ritmo de ataques pode disparar. Organizações devem revisar suas regras de detecção para alertas de execução remota em massa e desativar protocolos de administração remota (WinRM, PSRemoting) onde não forem estritamente necessários. O backup offline continua sendo a defesa última, mas com uma variante tão rápida, a capacidade de detectar a pré-criptografia — e os indicadores de reconhecimento automatizado — se torna a prioridade número um para CISOs.

Fonte: BleepingComputer