Il Threat Hunter Team di Symantec ha documentato una nuova famiglia ransomware chiamata Spirals che è passata dall’accesso iniziale al furto dati e alla cifratura in meno di 24 ore. Prima di cifrare, l’operatore ha fermato i servizi di 23 prodotti di backup, database e virtualizzazione. Symantec ha osservato finora un solo caso e precisa che non è chiaro se Spirals sia destinata a un uso più ampio.
Juan Ricardo Palacio
Co-fondatore e CEO per le Americhe, HelpRansomware
Ingegnere elettronico e co-fondatore di HelpRansomware, con oltre 25 anni in cybersecurity, digital forensics e risposta agli attacchi ransomware.
A un operatore ransomware non servono settimane dentro una rete. Nel caso documentato da Symantec ne è bastato meno di un giorno.
I ricercatori del Threat Hunter Team di Symantec riferiscono che un nuovo attore chiamato Spirals ha violato un’azienda di servizi IT nel Sud est asiático a giugno 2026, ha sottratto dati e cifrato la rete in meno di 24 ore. L’ingresso è avvenuto tramite un server Internet Information Services esposto su internet. Prima della fase di cifratura, un payload PowerShell ha disattivato Microsoft Defender e fermato i servizi di 23 prodotti di backup, database e virtualizzazione, tra cui Veeam, VMware, Hyper-V, SQL Server, Oracle e PostgreSQL. Symantec ha osservato Spirals in un único caso.
Il servizio di backup fa parte della superficie di attacco
Spirals non ha faticato a superare i backup: li ha spenti. Un payload PowerShell ha fermato i servizi di 23 prodotti di backup, database e virtualizzazione prima che venisse cifrato un solo file. Un backup che si può fermare con credenziali di dominio non è una garanzia di ripristino.
Cosa ha documentato Symantec
La catena di intrusione riportata dalla ricerca del Threat Hunter Team:
- Accesso iniziale tramite un server Internet Information Services pubblicato su internet, seguito da una web shell ASP.NET.
- Bypass dello User Account Control, attivazione del Desktop remoto e creazione di un account locale per la persistenza.
- Dump dell’hive di registro SAM e della memoria del processo LSASS per estrarre credenziali.
- Uso di WMI per il movimento laterale verso più di una dozzina di sistemi, con revsocks, Chisel e tunnel Cloudflare come accesso remoto ridondante.
I numeri del caso Spirals
Tutti i dati provengono dall’analisi del Threat Hunter Team di Symantec su una singola intrusione presso un’azienda di servizi IT nel Sud est asiático a giugno 2026. Symantec segnala di aver visto Spirals in un solo caso, quindi non è ancora chiaro se la famiglia sia pensata per un impiego criminale più ampio o se fosse un payload su misura per questo specifico attacco.
Come il payload si è nascosto in piena vista
L’operatore ha iniziato a distribuire il payload ransomware nella rete della vittima usando PsExec eseguito come SYSTEM. Il payload era chiamato bitsadmin.exe, probabilmente per mascherarsi da utility legittima di Windows associata al Background Intelligent Transfer Service.
Un’intrusione di 24 ore, passo per passo
La velocità è il tratto distintivo di questo caso. La compressione dell’intera catena in una sola giornata elimina la finestra di risposta che molti piani danno per scontata. Per lo schema generale, vedi come si svolge di solito un attacco ransomware. Di seguito la sequenza descritta da Symantec. Per lo schema generale, vedi come si svolge di solito un attacco ransomware.
Dove è finito il tempo
Il caso Spirals in quattro numeri
Threat Hunter Team di Symantec, intrusione di giugno 2026
Cosa difende da questo schema
Le contromisure seguenti corrispondono ai passaggi specifici osservati da Symantec, non al ransomware in generale. Ognuna chiude una falla che questo operatore ha effettivamente sfruttato.
| Controllo | Perché conta contro Spirals | Falla che chiude |
|---|---|---|
| Backup immutabile o offline | L’operatore ha fermato i servizi di 23 prodotti di backup e database | Backup raggiungibili con credenziali di dominio |
| Inventario degli asset esposti | L’ingresso è stato un server IIS pubblicato sul web | Servizi esposti che nessuno sta monitorando |
| Tamper protection sull’EDR | Un payload PowerShell ha disattivato Defender e rimosso le definizioni | Sicurezza che si può spegnere |
| Monitoraggio di egress e tunnel | revsocks, Chisel e tunnel Cloudflare hanno dato accesso ridondante | Canali in uscita che sembrano legittimi |
Cosa va storto quando la catena è così rápida
Gran parte dei piani di ripristino presuppone il tempo di accorgersi, escalare e contenere. Una catena sotto le 24 ore elimina questo presupposto. Ecco i punti di rottura che il caso Spirals mette in evidenza.
- ⛔ Considerare il backup una garanzia di ripristino quando il servizio di backup si può fermare dalla stessa rete.
- ⛔ Affidarsi alla sola detection endpoint, mentre l’operatore disattiva Defender e ne rimuove le definizioni prima di cifrare.
- ⛔ Pianificare una finestra di risposta di giorni, quando l’intera intrusione si è chiusa in meno di 24 ore.
- ⛔ Lasciare un server esposto su internet senza sapere che esiste.
- ⛔ Concentrarsi sul ripristino dei file e dimenticare il furto dei dati, che fa comunque scattare gli obblighi di notifica.
Ripristinare i file non annulla il furto dei dati
Spirals ha esfiltrato i dati prima di cifrare e ha fissato una scadenza di sei giorni per la pubblicazione. Anche un ripristino pulito da backup lascia la copia sottratta nelle mani dell’operatore, con gli obblighi legali e reputazionali che ne derivano. In Italia questo significa valutare la notifica al Garante Privacy entro 72 ore ai sensi del GDPR. Considera il furto certo e pianifica il percorso di notifica insieme a quello tecnico.
Cosa fare questa settimana
Nessuna delle azioni seguenti richiede una nuova voce di budget. Sono le falle specifiche usate in questa intrusione, nell’ordine che riduce più in fretta l’esposizione. Per la checklist completa vedi la guida su come prevenire un attacco ransomware. Per la checklist completa vedi la guida su come prevenire un attacco ransomware.
- ✅ Tieni almeno una copia di backup immutabile o offline, fuori dalla portata delle credenziali di dominio.
- ✅ Inventaria ogni servizio esposto su internet e rimuovi o aggiorna ciò che non deve essere pubblicato.
- ✅ Attiva la tamper protection perché la sicurezza endpoint non sia disattivabile da un host compromesso.
- ✅ Genera alert su PsExec, bitsadmin e creazione di processi WMI visti su più host in poco tempo.
- ✅ Sorveglia utility di tunneling come revsocks e Chisel e i tunnel Cloudflare non previsti.
- ✅ Prova un ripristino partendo dal presupposto che il server di backup sia già compromesso.
Symantec ha pubblicato gli indicatori
Il report di Symantec include indicatori di rete e hash dei file dell’attacco Spirals documentato, così i difensori possono cercare lo schema prima che arrivi alla fase di cifratura. Se stai gestendo un incidente in corso, conserva la richiesta di riscatto e un campione cifrato prima di reinstallare qualsiasi macchina: è il punto di partenza per recuperare i file crittografati. È anche il punto di partenza per recuperare i file crittografati.
Fonti
Juan Ricardo Palacio
Co-fondatore e CEO per le Americhe, HelpRansomware
Juan Ricardo Palacio è ingegnere elettronico, imprenditore e specialista in telecomunicazioni, cybersecurity e digital forensics, con oltre 25 anni di esperienza professionale. Co-fondatore di HelpRansomware, opera nei campi della cyber resilience, della risposta agli attacchi ransomware, del recupero dati, della crittografia e del reverse engineering, supportando aziende e organizzazioni nella gestione di incidenti informatici ad alta criticità.
📰 Menzionato e citato su Forbes Georgia, Business Insider Africa, LA Weekly e Il Sole 24 Ore.
📅 Ultimo aggiornamento: 16 luglio 2026


