Spirals ransomware: dall’accesso alla cifratura in meno di 24 ore

AI Overview

Il Threat Hunter Team di Symantec ha documentato una nuova famiglia ransomware chiamata Spirals che è passata dall’accesso iniziale al furto dati e alla cifratura in meno di 24 ore. Prima di cifrare, l’operatore ha fermato i servizi di 23 prodotti di backup, database e virtualizzazione. Symantec ha osservato finora un solo caso e precisa che non è chiaro se Spirals sia destinata a un uso più ampio.

Juan Ricardo Palacio, co-fondatore di HelpRansomware

Juan Ricardo Palacio

Co-fondatore e CEO per le Americhe, HelpRansomware

Ingegnere elettronico e co-fondatore di HelpRansomware, con oltre 25 anni in cybersecurity, digital forensics e risposta agli attacchi ransomware.

A un operatore ransomware non servono settimane dentro una rete. Nel caso documentato da Symantec ne è bastato meno di un giorno.

I ricercatori del Threat Hunter Team di Symantec riferiscono che un nuovo attore chiamato Spirals ha violato un’azienda di servizi IT nel Sud est asiático a giugno 2026, ha sottratto dati e cifrato la rete in meno di 24 ore. L’ingresso è avvenuto tramite un server Internet Information Services esposto su internet. Prima della fase di cifratura, un payload PowerShell ha disattivato Microsoft Defender e fermato i servizi di 23 prodotti di backup, database e virtualizzazione, tra cui Veeam, VMware, Hyper-V, SQL Server, Oracle e PostgreSQL. Symantec ha osservato Spirals in un único caso.

Il servizio di backup fa parte della superficie di attacco

Spirals non ha faticato a superare i backup: li ha spenti. Un payload PowerShell ha fermato i servizi di 23 prodotti di backup, database e virtualizzazione prima che venisse cifrato un solo file. Un backup che si può fermare con credenziali di dominio non è una garanzia di ripristino.

Cosa ha documentato Symantec

La catena di intrusione riportata dalla ricerca del Threat Hunter Team:

  • Accesso iniziale tramite un server Internet Information Services pubblicato su internet, seguito da una web shell ASP.NET.
  • Bypass dello User Account Control, attivazione del Desktop remoto e creazione di un account locale per la persistenza.
  • Dump dell’hive di registro SAM e della memoria del processo LSASS per estrarre credenziali.
  • Uso di WMI per il movimento laterale verso più di una dozzina di sistemi, con revsocks, Chisel e tunnel Cloudflare come accesso remoto ridondante.

I numeri del caso Spirals

24
ore dall’accesso iniziale alla cifratura
23
prodotti di backup, database e virtualizzazione fermati
12+
sistemi raggiunti con movimento laterale via WMI
6
giorni prima della minacciata pubblicazione dei dati

Tutti i dati provengono dall’analisi del Threat Hunter Team di Symantec su una singola intrusione presso un’azienda di servizi IT nel Sud est asiático a giugno 2026. Symantec segnala di aver visto Spirals in un solo caso, quindi non è ancora chiaro se la famiglia sia pensata per un impiego criminale più ampio o se fosse un payload su misura per questo specifico attacco.

Come il payload si è nascosto in piena vista

L’operatore ha iniziato a distribuire il payload ransomware nella rete della vittima usando PsExec eseguito come SYSTEM. Il payload era chiamato bitsadmin.exe, probabilmente per mascherarsi da utility legittima di Windows associata al Background Intelligent Transfer Service.

Threat Hunter Team di Symantec

Un’intrusione di 24 ore, passo per passo

La velocità è il tratto distintivo di questo caso. La compressione dell’intera catena in una sola giornata elimina la finestra di risposta che molti piani danno per scontata. Per lo schema generale, vedi come si svolge di solito un attacco ransomware. Di seguito la sequenza descritta da Symantec. Per lo schema generale, vedi come si svolge di solito un attacco ransomware.

Ora 0
Un server Internet Information Services esposto su internet viene compromesso e viene caricata una web shell ASP.NET.
Prime ore
L’operatore aggira lo User Account Control, attiva il Desktop remoto e crea un account locale, poi effettua il dump dell’hive SAM e della memoria LSASS per le credenziali.
Fase intermedia
WMI viene usato per spostarsi lateralmente su più di una dozzina di sistemi, mentre revsocks, Chisel e tunnel Cloudflare garantiscono accesso remoto ridondante.
Prima della cifratura
Un payload PowerShell disattiva Microsoft Defender, ne rimuove le definizioni e ferma i servizi di 23 prodotti di backup, database e virtualizzazione.
Sotto le 24 ore
PsExec distribuisce il payload come SYSTEM con il nome bitsadmin.exe, i file vengono cifrati e viene fissata una scadenza di sei giorni per la pubblicazione.

Dove è finito il tempo

Il caso Spirals in quattro numeri

Threat Hunter Team di Symantec, intrusione di giugno 2026

Grafico a barre che mostra 24 ore alla cifratura, 23 servizi fermati, 12 sistemi raggiunti via WMI e una scadenza di 6 giorni nel caso Spirals.

📊 Come leggerlo: ogni cifra viene da una singola intrusione documentata da Symantec, non da una campagna. Il dato non è il volume, è la velocità.

Cosa difende da questo schema

Le contromisure seguenti corrispondono ai passaggi specifici osservati da Symantec, non al ransomware in generale. Ognuna chiude una falla che questo operatore ha effettivamente sfruttato.

Controllo Perché conta contro Spirals Falla che chiude
Backup immutabile o offline L’operatore ha fermato i servizi di 23 prodotti di backup e database Backup raggiungibili con credenziali di dominio
Inventario degli asset esposti L’ingresso è stato un server IIS pubblicato sul web Servizi esposti che nessuno sta monitorando
Tamper protection sull’EDR Un payload PowerShell ha disattivato Defender e rimosso le definizioni Sicurezza che si può spegnere
Monitoraggio di egress e tunnel revsocks, Chisel e tunnel Cloudflare hanno dato accesso ridondante Canali in uscita che sembrano legittimi

Cosa va storto quando la catena è così rápida

Gran parte dei piani di ripristino presuppone il tempo di accorgersi, escalare e contenere. Una catena sotto le 24 ore elimina questo presupposto. Ecco i punti di rottura che il caso Spirals mette in evidenza.

  • ⛔ Considerare il backup una garanzia di ripristino quando il servizio di backup si può fermare dalla stessa rete.
  • ⛔ Affidarsi alla sola detection endpoint, mentre l’operatore disattiva Defender e ne rimuove le definizioni prima di cifrare.
  • ⛔ Pianificare una finestra di risposta di giorni, quando l’intera intrusione si è chiusa in meno di 24 ore.
  • ⛔ Lasciare un server esposto su internet senza sapere che esiste.
  • ⛔ Concentrarsi sul ripristino dei file e dimenticare il furto dei dati, che fa comunque scattare gli obblighi di notifica.

Ripristinare i file non annulla il furto dei dati

Spirals ha esfiltrato i dati prima di cifrare e ha fissato una scadenza di sei giorni per la pubblicazione. Anche un ripristino pulito da backup lascia la copia sottratta nelle mani dell’operatore, con gli obblighi legali e reputazionali che ne derivano. In Italia questo significa valutare la notifica al Garante Privacy entro 72 ore ai sensi del GDPR. Considera il furto certo e pianifica il percorso di notifica insieme a quello tecnico.

Cosa fare questa settimana

Nessuna delle azioni seguenti richiede una nuova voce di budget. Sono le falle specifiche usate in questa intrusione, nell’ordine che riduce più in fretta l’esposizione. Per la checklist completa vedi la guida su come prevenire un attacco ransomware. Per la checklist completa vedi la guida su come prevenire un attacco ransomware.

  • ✅ Tieni almeno una copia di backup immutabile o offline, fuori dalla portata delle credenziali di dominio.
  • ✅ Inventaria ogni servizio esposto su internet e rimuovi o aggiorna ciò che non deve essere pubblicato.
  • ✅ Attiva la tamper protection perché la sicurezza endpoint non sia disattivabile da un host compromesso.
  • ✅ Genera alert su PsExec, bitsadmin e creazione di processi WMI visti su più host in poco tempo.
  • ✅ Sorveglia utility di tunneling come revsocks e Chisel e i tunnel Cloudflare non previsti.
  • ✅ Prova un ripristino partendo dal presupposto che il server di backup sia già compromesso.

Symantec ha pubblicato gli indicatori

Il report di Symantec include indicatori di rete e hash dei file dell’attacco Spirals documentato, così i difensori possono cercare lo schema prima che arrivi alla fase di cifratura. Se stai gestendo un incidente in corso, conserva la richiesta di riscatto e un campione cifrato prima di reinstallare qualsiasi macchina: è il punto di partenza per recuperare i file crittografati. È anche il punto di partenza per recuperare i file crittografati.


Fonti

Juan Ricardo Palacio, co-fondatore di HelpRansomware

Juan Ricardo Palacio

Co-fondatore e CEO per le Americhe, HelpRansomware

Juan Ricardo Palacio è ingegnere elettronico, imprenditore e specialista in telecomunicazioni, cybersecurity e digital forensics, con oltre 25 anni di esperienza professionale. Co-fondatore di HelpRansomware, opera nei campi della cyber resilience, della risposta agli attacchi ransomware, del recupero dati, della crittografia e del reverse engineering, supportando aziende e organizzazioni nella gestione di incidenti informatici ad alta criticità.

📰 Menzionato e citato su Forbes Georgia, Business Insider Africa, LA Weekly e Il Sole 24 Ore.

📅 Ultimo aggiornamento: 16 luglio 2026

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *