“Nightspire” est un groupe cybercriminel actif spécialisé dans les ransomwares, connu pour recourir à des tactiques de double extorsion, combinant le chiffrement des systèmes compromis et la menace de divulgation publique des données volées afin de contraindre les victimes à payer une rançon. Les observations récentes indiquent une intensification de ses activités, avec une augmentation du nombre de victimes publiées sur ses plateformes d’extorsion, ce qui témoigne d’une montée en puissance de ses campagnes.

“Nightspire” cible des secteurs variés tels que la santé, l’industrie, l’éducation, la logistique et l’administration publique. Pour obtenir un accès initial, le groupe exploite plusieurs vecteurs, notamment des équipements exécutant des versions FortiOS vulnérables, l’utilisation des identifiants compromis pour accéder à des services exposés comme le Remote Desktop Protocol ou les VPN, ainsi que des campagnes de phishing sophistiquées.

Après l’exfiltration et le chiffrement des données, les victimes sont invitées à entrer en contact avec les acteurs malveillants via des adresses « ProtonMail, OnionMail ou des identifiants Telegram ». Les sites de fuite du groupe, accessibles sur le réseau Tor, publient des exemples de données volées et affichent des comptes à rebours de 2 à 3 jours pour faire pression sur les victimes afin qu’elles paient rapidement.

Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à ce groupe.