SOC Prime Bias: Élevé

13 Jul 2026 15:29 UTC

Everest Ransomware Combine Chiffrement, Accès et Menaces Internes

Author Photo
SOC Prime Team linkedin icon Suivre
Everest Ransomware Combine Chiffrement, Accès et Menaces Internes
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Everest est une opération de ransomware basée sur Windows, active depuis décembre 2020, qui suit un modèle multi-revenu basé sur le chiffrement, le courtage d’accès initial et le recrutement d’initiés. Le groupe utilise l’AES-128-CBC pour le chiffrement et applique une stratégie de double extorsion en menaçant de publier les données volées sur un site de fuite basé sur Tor. Il montre également un chevauchement technique avec le ransomware BlackByte, notamment par son comportement de génération de clé locale.

Enquête

Le rapport décrit la chaîne d’exécution d’Everest depuis l’accès initial via RDP ou VPN jusqu’à l’évasion des défenses et le chiffrement final. Il analyse l’utilisation par le malware de l’obfuscation .NET avec ConfuserEx et ses méthodes pour désactiver les options de récupération telles que les copies Shadow et les points de restauration système. La revue technique examine également son activité de découverte du réseau, y compris l’utilisation de SoftPerfect Network Scanner.

Atténuation

Les organisations devraient appliquer l’authentification multi-facteurs sur tous les points d’entrée RDP et VPN pour réduire le risque de compromission initiale. Les équipes de sécurité devraient surveiller les changements non autorisés dans l’accès contrôlé aux dossiers de Windows Defender et les tentatives de désactivation des copies Shadow. Limiter les privilèges administratifs et détecter l’exécution d’outils de scan réseau tels que netscan.exe peut également aider à réduire l’exposition.

Réponse

Si une activité Everest est détectée, les systèmes affectés devraient être isolés immédiatement pour arrêter le mouvement latéral et le chiffrement ultérieur. Les répondants devraient identifier et terminer les processus tentant de modifier les descripteurs de sécurité ou de supprimer les données de sauvegarde à grande échelle. Les équipes de réponse aux incidents devraient également déterminer si une exfiltration de données a eu lieu via des canaux basés sur Tor avant que la contenance et la récupération ne se poursuivent.

Flux d’attaque

Exécution de la simulation

Prérequis : Le contrôle préalable de télémétrie et de base doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront une erreur de diagnostic.

  • Narration & Commandes d’attaque : Un adversaire a obtenu un accès initial à une station de travail Windows. Pour préparer la phase de déploiement du ransomware, il doit cartographier le réseau local pour identifier les cibles de grande valeur et s’assurer qu’aucun outil anti-ransomware n’est actif. L’adversaire tente de lancer netscan.exe (SoftPerfect Network Scanner) pour découvrir les hôtes actifs et utilise mountvol.exe pour lister tous les volumes disponibles, y compris ceux qui ne possèdent pas actuellement de lettre de lecteur assignée, afin d’identifier les sauvegardes ou copies Shadow potentielles.

  • Script de test de régression :

    # Script de simulation pour déclencher la logique de règle de détection de l'Everest Ransomware.
    # Remarque : Ces commandes supposent que les fichiers existent dans le répertoire actuel ou le chemin du système.
    # À des fins de simulation, nous utiliserons 'echo' pour simuler l'exécution si les fichiers ne sont pas présents, 
    # mais pour déclencher la règle ACTUELLE, les fichiers doivent être présents.
    
    Write-Host "[+] Démarrage de la simulation TTP de l'Everest Ransomware..." -ForegroundColor Cyan
    
    # 1. Simuler l'utilisation de mountvol.exe (Outil standard Windows)
    Write-Host "[*] Exécution de mountvol.exe..." -ForegroundColor Yellow
    mountvol.exe
    
    # 2. Simuler l'exécution de NetScan (Requiert que netscan.exe soit dans le chemin/répertoire)
    # À des fins de validation, nous créons un fichier fictif pour imiter le nom 
    # si l'outil réel n'est pas disponible, bien que la règle recherche l'exécution du processus.
    Write-Host "[*] Simulation de l'exécution de netscan.exe..." -ForegroundColor Yellow
    if (Test-Path ".netscan.exe") {
        Start-Process ".netscan.exe"
    } else {
        Write-Host "[!] netscan.exe non trouvé. Veuillez placer un faux netscan.exe dans ce dossier pour déclencher la détection." -ForegroundColor Red
    }
    
    # 3. Simuler la suppression de Raccine
    Write-Host "[*] Simulation de l'exécution de Raccine.exe..." -ForegroundColor Yellow
    if (Test-Path ".Raccine.exe") {
        Start-Process ".Raccine.exe"
    } else {
        Write-Host "[!] Raccine.exe non trouvé. Veuillez placer un faux Raccine.exe dans ce dossier pour déclencher la détection." -ForegroundColor Red
    }
    
    Write-Host "[+] Simulation terminée." -ForegroundColor Cyan
  • Commandes de nettoyage :

    # Supprimer tous les fichiers fictifs créés pendant la simulation.
    Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue
    Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue
    Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue
    Write-Host "[+] Nettoyage terminé." -ForegroundColor Green