Everest Ransomware combina encriptación, acceso y amenazas internas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Everest es una operación de ransomware basada en Windows activa desde diciembre de 2020 que sigue un modelo de ingresos múltiples basado en cifrado, intermediación de acceso inicial y reclutamiento interno. El grupo usa AES-128-CBC para cifrar y aplica una estrategia de doble extorsión al amenazar con publicar datos robados en un sitio de filtraciones basado en Tor. También muestra similitudes técnicas con el ransomware BlackByte, particularmente a través de su comportamiento de generación de claves locales.
Investigación
El informe describe la cadena de ejecución de Everest desde el acceso inicial a través de RDP o VPN hasta la evasión de defensas y el cifrado final. Analiza el uso del malware de ofuscación .NET con ConfuserEx y sus métodos para deshabilitar opciones de recuperación como las Copias Sombra y los puntos de Restauración del Sistema. La revisión técnica examina también su actividad de descubrimiento de red, incluyendo el uso de SoftPerfect Network Scanner.
Mitigación
Las organizaciones deben implementar la autenticación multifactor en todos los puntos de entrada RDP y VPN para reducir el riesgo de compromiso inicial. Los equipos de seguridad deben monitorear cambios no autorizados en el Acceso Controlado a Carpetas de Windows Defender e intentos de deshabilitar las Copias Sombra. Limitar los privilegios administrativos y detectar la ejecución de herramientas de escaneo de redes como netscan.exe también puede ayudar a reducir la exposición.
Respuesta
Si se detecta actividad de Everest, los sistemas afectados deben estar aislados de inmediato para detener el movimiento lateral y el cifrado adicional. Los respondedores deberían identificar y terminar procesos que intenten alterar descriptores de seguridad o eliminar datos de respaldo a gran escala. Los equipos de respuesta a incidentes también deben determinar si se ha producido exfiltración de datos a través de canales basados en Tor antes de proceder con la contención y recuperación.
Flujo de Ataque
Detecciones
Posible Descubrimiento de Comparticiones de Red (a través de línea de comando)
Ver
Actividad Sospechosa de VSSADMIN (a través de línea de comando)
Ver
Posible Eliminación de Copias Sombra vía WMI (a través de powershell)
Ver
Cambios Sospechosos en las Preferencias de Windows Defender (a través de powershell)
Ver
Detección de Técnicas de Evasión de Defensa Pre-Cifrado de Ransomware Everest [Windows Powershell]
Ver
Descubrimiento de Red y Evasión de Defensa por Ransomware Everest [Creación de Procesos en Windows]
Ver
Ejecución de Simulación
Prerrequisito: Debe haber pasado la Verificación Previa de Telemetría & Línea Base.
Racionalización: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa de Ataque & Comandos: Un adversario ha obtenido acceso inicial a una estación de trabajo de Windows. Para prepararse para la fase de implementación del ransomware, necesita mapear la red local para identificar objetivos de alto valor y asegurarse de que no haya herramientas anti-ransomware activas. El adversario intenta ejecutar
netscan.exe(SoftPerfect Network Scanner) para descubrir hosts activos y usamountvol.exepara listar todos los volúmenes disponibles, incluidos aquellos que actualmente no tienen una letra de unidad asignada, para identificar posibles copias de seguridad o copias sombra. -
Script de Prueba de Regresión:
# Script de simulación para activar la lógica de regla de detección de Ransomware Everest. # Nota: Estos comandos asumen que los archivos existen en el directorio actual o en la ruta del sistema. # Para propósitos de simulación, usaremos 'echo' para simular la ejecución si los archivos no están presentes, # pero para activar la regla REAL, los archivos deben estar presentes. Write-Host "[+] Iniciando Simulación de TTP de Ransomware Everest..." -ForegroundColor Cyan # 1. Simular el uso de mountvol.exe (Herramienta Estándar de Windows) Write-Host "[*] Ejecutando mountvol.exe..." -ForegroundColor Yellow mountvol.exe # 2. Simular NetScan (Requiere que netscan.exe esté en la ruta/directorio) # Con el propósito de esta validación, creamos un archivo ficticio para imitar el nombre # si la herramienta real no está disponible, aunque la regla busca la ejecución del proceso. Write-Host "[*] Simulando la ejecución de netscan.exe..." -ForegroundColor Yellow if (Test-Path ".netscan.exe") { Start-Process ".netscan.exe" } else { Write-Host "[!] netscan.exe no encontrado. Por favor, coloque un netscan.exe ficticio en esta carpeta para activar la detección." -ForegroundColor Red } # 3. Simular la eliminación de Raccine Write-Host "[*] Simulando la ejecución de Raccine.exe..." -ForegroundColor Yellow if (Test-Path ".Raccine.exe") { Start-Process ".Raccine.exe" } else { Write-Host "[!] Raccine.exe no encontrado. Por favor, coloque un Raccine.exe ficticio en esta carpeta para activar la detección." -ForegroundColor Red } Write-Host "[+] Simulación completa." -ForegroundColor Cyan -
Comandos de Limpieza:
# Eliminar cualquier archivo ficticio creado durante la simulación. Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completa." -ForegroundColor Green