SOC Prime Bias: Hoch

13 Jul 2026 15:29 UTC

Everest-Ransomware kombiniert Verschlüsselung, Zugang und Insider-Bedrohungen

Author Photo
SOC Prime Team linkedin icon Folgen
Everest-Ransomware kombiniert Verschlüsselung, Zugang und Insider-Bedrohungen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Everest ist eine Windows-basierte Ransomware-Operation, die seit Dezember 2020 aktiv ist und ein Multi-Revenue-Modell verfolgt, das auf Verschlüsselung, initialem Zugangshandel und Insider-Rekrutierung basiert. Die Gruppe verwendet AES-128-CBC zur Verschlüsselung und wendet eine Doppel-Erpressungsstrategie an, indem sie droht, gestohlene Daten auf einer Tor-basierten Leak-Website zu veröffentlichen. Sie zeigt auch technische Überschneidungen mit der BlackByte-Ransomware, insbesondere durch ihr Verhalten bei der lokalen Schlüsselgenerierung.

Untersuchung

Der Bericht beschreibt die Everest-Ausführungskette vom initialen Zugang über RDP oder VPN zur Verteidigungsevasion und endgültigen Verschlüsselung. Er analysiert die Verwendung von .NET-Obfuskation mit ConfuserEx durch die Malware und ihre Methoden zur Deaktivierung von Wiederherstellungsoptionen wie Schattenkopien und Systemwiederherstellungspunkten. Die technische Überprüfung untersucht auch ihre Netzwerkentdeckungsaktivität, einschließlich der Verwendung von SoftPerfect Network Scanner.

Minderung

Organisationen sollten eine Multi-Faktor-Authentifizierung an allen RDP- und VPN-Eingängen durchsetzen, um das Risiko eines initialen Kompromisses zu verringern. Sicherheitsteams sollten auf unautorisierte Änderungen am Windows Defender Kontrollierten Ordnerzugriff und Versuche zur Deaktivierung von Schattenkopien überwachen. Die Begrenzung von administrativen Privilegien und das Erkennen der Ausführung von Netzwerkscan-Tools wie netscan.exe kann ebenfalls helfen, das Expositionsrisiko zu verringern.

Antwort

Wenn Everest-Aktivität erkannt wird, sollten betroffene Systeme sofort isoliert werden, um die laterale Bewegung und weitere Verschlüsselung zu stoppen. Responder sollten Prozesse identifizieren und beenden, die versuchen, Sicherheitsdeskriptoren zu ändern oder Backup-Daten in großem Maßstab zu löschen. Incident-Response-Teams sollten auch feststellen, ob eine Datenexfiltration über Tor-basierte Kanäle erfolgt ist, bevor Eindämmung und Wiederherstellung fortschreiten.

Angriffsfluss

Ausführung der Simulation

Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entworfen wurde, um die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genau erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht bezogene Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Ein Angreifer hat initialen Zugang zu einem Windows-Arbeitsplatz erlangt. Um sich auf die Ransomware-Einsatzphase vorzubereiten, muss er das lokale Netzwerk abbilden, um hochrangige Ziele zu identifizieren und sicherzustellen, dass keine Anti-Ransomware-Tools aktiv sind. Der Angreifer versucht, netscan.exe (SoftPerfect Network Scanner) auszuführen, um aktive Hosts zu entdecken und verwendet mountvol.exe um alle verfügbaren Volumes, einschließlich der derzeit nicht einem Laufwerksbuchstaben zugewiesenen, aufzulisten, um potenzielle Backups oder Schattenkopien zu identifizieren.

  • Regressionstest-Skript:

    # Simulationsskript, um die Everrest Ransomware-Erkennungsregel-Logik auszulösen.
    # Hinweis: Diese Befehle setzen voraus, dass die Dateien im aktuellen Verzeichnis oder im Systempfad existieren.
    # Für Simulationszwecke verwenden wir 'echo', um die Ausführung zu simulieren, wenn die Dateien nicht vorhanden sind,
    # aber um die TATSÄCHLICHE Regel auszulösen, müssen die Dateien vorhanden sein.
    
    Write-Host "[+] Everest Ransomware TTP-Simulation wird gestartet ..." -ForegroundColor Cyan
    
    # 1. Verwendung von mountvol.exe simulieren (Standard-Windows-Tool)
    Write-Host "[*] mountvol.exe wird ausgeführt ..." -ForegroundColor Yellow
    mountvol.exe
    
    # 2. NetScan simulieren (erfordert netscan.exe im Pfad/Verzeichnis)
    # Für die Validierung dieses Schritts erstellen wir eine Dummy-Datei, um den Namen zu imitieren,
    # wenn das echte Tool nicht verfügbar ist, obwohl die Regel nach der Prozessa usführung sucht.
    Write-Host "[*] netscan.exe-Ausführung wird simuliert ..." -ForegroundColor Yellow
    if (Test-Path ".netscan.exe") {
        Start-Process ".netscan.exe"
    } else {
        Write-Host "[!] netscan.exe nicht gefunden. Bitte platzieren Sie ein Dummy netscan.exe in diesem Ordner, um die Erkennung auszulösen." -ForegroundColor Red
    }
    
    # 3. Entfernung von Raccine simulieren
    Write-Host "[*] Raccine.exe-Ausführung wird simuliert ..." -ForegroundColor Yellow
    if (Test-Path ".Raccine.exe") {
        Start-Process ".Raccine.exe"
    } else {
        Write-Host "[!] Raccine.exe nicht gefunden. Bitte platzieren Sie ein Dummy Raccine.exe in diesem Ordner, um die Erkennung auszulösen." -ForegroundColor Red
    }
    
    Write-Host "[+] Simulation abgeschlossen." -ForegroundColor Cyan
  • Bereinigungskommandos:

    # Entfernen Sie alle während der Simulation erstellten Dummy-Dateien.
    Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue
    Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue
    Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue
    Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Green