Nach Darstellung von Symantec verschafften sich die Angreifer zunächst über einen öffentlich exponierten IIS-Server Zugang zu dem Unternehmen und luden dort eine ASP.NET-Web-Shell hoch. Anschließend umging der Spirals-Betreiber die Benutzerkontensteuerung, aktivierte Remote Desktop und legte ein lokales Konto an, um den Zugriff aufrechtzuerhalten. Zudem wurden der SAM-Registrierungszweig und der Speicher des LSASS-Prozesses ausgelesen, offenbar um Anmeldedaten zu gewinnen.

Die Ermittler von Symantec beobachteten außerdem Versuche, Sicherheitssoftware auf den betroffenen Systemen zu entfernen. Für die seitliche Bewegung im Netzwerk nutzte der Angreifer WMI und breitete sich damit auf mehr als ein Dutzend Systeme aus. Parallel richtete er mehrere redundante Fernzugriffskanäle über revsocks, Chisel und Cloudflare-Tunnel ein.

Zur Vorbereitung der Verschlüsselung kam laut Symantec ein PowerShell-Paket zum Einsatz, das Microsoft Defender deaktivierte, dessen Bedrohungsdefinitionen entfernte und Dienste von 23 Produkten aus den Bereichen Backup, Datenbanken und Virtualisierung stoppte. Genannt werden unter anderem Veeam, VMware, Hyper-V, SQL Server, Oracle und PostgreSQL.

Die eigentliche Verteilung der Spirals-Nutzlast erfolgte laut Symantec weniger als 24 Stunden nach der Erstkompromittierung. „Der Betreiber begann damit, die Ransomware-Nutzlast mit PsExec im Kontext von SYSTEM über das Netzwerk des Opfers zu verteilen“, erklären die Forscher. Die Datei trug den Namen bitsadmin.exe und sollte nach Einschätzung von Symantec wahrscheinlich wie das legitime Windows-Werkzeug im Zusammenhang mit dem Hintergrundübertragungsdienst wirken.

Spirals selbst beschreibt Symantec als eine in Rust geschriebene Ransomware-Familie. Für die Verschlüsselung verwendet sie AES-128-Schlüssel, die durch einen vom Angreifer kontrollierten öffentlichen ECDH-P-256-Schlüssel abgesichert werden. Bei Dateien mit mehr als 5 MB setzt die Schadsoftware auf intermittierende Verschlüsselung, um den Vorgang zu beschleunigen.

Auf dem Laufwerk C:\ legt die Ransomware eine Lösegeldnotiz mit dem Namen RECOVERY_SECTION.log ab. Darin finden sich Anweisungen für Verhandlungen über die Zahlung. Zugleich drohen die Angreifer damit, die zuvor gestohlenen Daten innerhalb von sechs Tagen öffentlich zu machen, falls keine Zahlung erfolgt.

Trotz eines vorhandenen Erpressungsportals hat Symantec Spirals bislang nur in diesem einen Fall beobachtet. Deshalb sei derzeit offen, ob die neue Familie für einen breiteren Einsatz in der Cyberkriminalität gedacht ist oder ob es sich um eine speziell für den Angriff auf den IT-Dienstleister erstellte Nutzlast handelt. Der Bericht von Symantec enthält außerdem Netzwerkindikatoren und Dateihashes zu dem dokumentierten Spirals-Angriff, damit Organisationen ihre Abwehr auf diese Gruppe ausrichten können.