Spirals – свежее имя среди ransomware, и появилось оно тихо: в июне 2026-го его поймали ровно на одной жертве – IT-компании в Южной Азии. Самое интересное в кейсе – не сам локер на Rust, а руки за клавиатурой и то, как хладнокровно они держат темп. Оператор зашёл через интернет-фейсинг IIS-сервер, поднял на нём ASP.NET-вебшелл – и с этой единственной точки за трёхчасовую смену размотал сеть до доменного администратора. Четыре независимых канала наружу, снесённый EDR, дамп LSASS с машин по всей сети – всё это в первые часы после захода.
А дальше – то, из-за чего «меньше суток» звучит обманчиво. Забрав всё, что нужно, оператор не полез сразу шифровать. Он ушёл в тень больше чем на полсуток – и вернулся к машинам только на следующий день, чтобы за тридцать минут веером раскатать шифровальщик по всей сети. Это не паническая run-and-gun атака, а расписанная по актам работа. И вишенка: сами исследователи не уверены, принадлежит ли Rust-локер взломщикам – возможно, его собрали под этот конкретный заход отдельно.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Автор: hacker@shifry.local