SOC Prime Bias: Alto

13 Jul 2026 15:29 UTC

Ransomware Everest Combina Criptografia, Acesso e Ameaças Internas

Author Photo
SOC Prime Team linkedin icon Seguir
Ransomware Everest Combina Criptografia, Acesso e Ameaças Internas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Everest é uma operação de ransomware baseada em Windows ativa desde dezembro de 2020, que segue um modelo de múltiplas receitas baseado em criptografia, corretagem de acesso inicial e recrutamento interno. O grupo usa AES-128-CBC para criptografia e aplica uma estratégia de dupla extorsão, ameaçando publicar dados roubados em um site de vazamento baseado em Tor. Também mostra sobreposição técnica com o ransomware BlackByte, particularmente por meio de seu comportamento de geração de chave local.

Investigação

O relatório descreve a cadeia de execução do Everest desde o acesso inicial via RDP ou VPN até a evasão de defesa e criptografia final. Analisa o uso do .NET ofuscação pelo malware com ConfuserEx e seus métodos para desativar opções de recuperação, como Cópias de Sombra e pontos de Restauração do Sistema. A revisão técnica também examina sua atividade de descoberta de rede, incluindo o uso do SoftPerfect Network Scanner.

Mitigação

As organizações devem aplicar autenticação multifator em todos os pontos de entrada RDP e VPN para reduzir o risco de comprometimento inicial. As equipes de segurança devem monitorar alterações não autorizadas no Acesso Controlado a Pastas do Windows Defender e tentativas de desativar Cópias de Sombra. Limitar privilégios administrativos e detectar a execução de ferramentas de varredura de rede, como netscan.exe também pode ajudar a reduzir a exposição.

Resposta

Se a atividade do Everest for detectada, os sistemas afetados devem ser isolados imediatamente para interromper o movimento lateral e a criptografia adicional. Os respondedores devem identificar e encerrar processos tentando alterar descritores de segurança ou deletar dados de backup em larga escala. As equipes de resposta a incidentes também devem determinar se houve exfiltração de dados por canais baseados em Tor antes que o confinamento e a recuperação prossigam.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos: Um adversário obteve acesso inicial a uma estação de trabalho Windows. Para preparar a fase de implantação do ransomware, eles precisam mapear a rede local para identificar alvos de alto valor e garantir que nenhuma ferramenta anti-ransomware esteja ativa. O adversário tenta executar netscan.exe (SoftPerfect Network Scanner) para descobrir hosts ativos e usa mountvol.exe para listar todos os volumes disponíveis, incluindo aqueles que não estão atualmente atribuídos a uma letra de unidade, para identificar possíveis backups ou cópias de sombra.

  • Script de Teste de Regressão:

    # Script de simulação para acionar a lógica de regra de detecção do Ransomware Everest.
    # Nota: Esses comandos assumem que os arquivos existem no diretório atual ou no caminho do sistema.
    # Para fins de simulação, usaremos 'echo' para simular a execução se os arquivos não estiverem presentes,
    # mas para acionar a regra REAL, os arquivos devem estar presentes.
    
    Write-Host "[+] Iniciando Simulação de TTP do Ransomware Everest..." -ForegroundColor Cyan
    
    # 1. Simular uso do mountvol.exe (Ferramenta padrão do Windows)
    Write-Host "[*] Executando mountvol.exe..." -ForegroundColor Yellow
    mountvol.exe
    
    # 2. Simular NetScan (Requer netscan.exe no caminho/dir)
    # Para fins de validação, criamos um arquivo fictício para imitar o nome 
    # se a ferramenta real não estiver disponível, embora a regra procure a execução do processo.
    Write-Host "[*] Simulando execução do netscan.exe..." -ForegroundColor Yellow
    if (Test-Path ".netscan.exe") {
        Start-Process ".netscan.exe"
    } else {
        Write-Host "[!] netscan.exe não encontrado. Por favor, coloque um netscan.exe simulado nesta pasta para acionar a detecção." -ForegroundColor Red
    }
    
    # 3. Simular remoção do Raccine
    Write-Host "[*] Simulando execução do Raccine.exe..." -ForegroundColor Yellow
    if (Test-Path ".Raccine.exe") {
        Start-Process ".Raccine.exe"
    } else {
        Write-Host "[!] Raccine.exe não encontrado. Por favor, coloque um Raccine.exe simulado nesta pasta para acionar a detecção." -ForegroundColor Red
    }
    
    Write-Host "[+] Simulação completa." -ForegroundColor Cyan
  • Comandos de Limpeza:

    # Remove quaisquer arquivos simulados criados durante a simulação.
    Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue
    Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue
    Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue
    Write-Host "[+] Limpeza completa." -ForegroundColor Green