Il Ransomware Everest Combina Crittografia, Accesso e Minacce Interne
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Everest è un’operazione ransomware basata su Windows attiva dal dicembre 2020 che segue un modello multi-entrata basato su crittografia, brokeraggio di accesso iniziale e reclutamento di informatori interni. Il gruppo utilizza AES-128-CBC per la crittografia e applica una strategia di doppia estorsione minacciando di pubblicare i dati rubati su un sito di leak basato su Tor. Mostra anche una sovrapposizione tecnica con il ransomware BlackByte, in particolare attraverso il proprio comportamento di generazione di chiavi locali.
Indagine
Il rapporto descrive la catena di esecuzione Everest dall’accesso iniziale tramite RDP o VPN fino all’evasione delle difese e alla crittografia finale. Analizza l’uso del malware per l’offuscamento .NET con ConfuserEx e i suoi metodi per disabilitare opzioni di ripristino come le Copie Ombra e i punti di Ripristino del Sistema. La revisione tecnica esamina anche la sua attività di scoperta della rete, incluso l’uso di SoftPerfect Network Scanner.
Mitigazione
Le organizzazioni dovrebbero applicare l’autenticazione multi-fattore su tutti i punti di accesso RDP e VPN per ridurre il rischio di compromissione iniziale. I team di sicurezza dovrebbero monitorare per cambiamenti non autorizzati alle impostazioni di Windows Defender Controlled Folder Access e tentativi di disabilitare le Copie Ombra. Limitare i privilegi amministrativi e rilevare l’esecuzione di strumenti di scansione di rete tali come netscan.exe possono anche aiutare a ridurre l’esposizione.
Risposta
Se viene rilevata attività di Everest, i sistemi interessati dovrebbero essere immediatamente isolati per fermare il movimento laterale e ulteriori crittografie. I soccorritori dovrebbero identificare e terminare i processi che cercano di alterare i descrittori di sicurezza o eliminare dati di backup su larga scala. I team di risposta agli incidenti dovrebbero anche determinare se si è verificata un’esfiltrazione di dati tramite canali basati su Tor prima che procedano il contenimento e il recupero.
Flusso di Attacco
Rilevazioni
Possibile Scoperta di Condivisioni di Rete (via cmdline)
Visualizza
Attività Sospetta di VSSADMIN (via cmdline)
Visualizza
Possibile Eliminazione Copie Ombra via WMI (via powershell)
Visualizza
Cambiamenti Sospetti alle Preferenze di Windows Defender (via powershell)
Visualizza
Rilevazione delle Tecniche di Evasione della Difesa Pre-Crittografia del Ransomware Everest [Windows Powershell]
Visualizza
Scoperta della Rete e Evasione della Difesa del Ransomware Everest [Creazione Processo Windows]
Visualizza
Esecuzione Simulazione
Prerequisito: Il controllo preliminare del Telemetry & Baseline deve essere stato superato.
Motivo: Questa sezione dettaglia la precisa esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Storia dell’Attacco & Comandi: Un avversario ha ottenuto l’accesso iniziale a una workstation Windows. Per prepararsi alla fase di distribuzione del ransomware, devono mappare la rete locale per identificare obiettivi di alto valore e garantire che non siano attivi strumenti anti-ransomware. L’avversario tenta di eseguire
netscan.exe(SoftPerfect Network Scanner) per scoprire host attivi e utilizzamountvol.exeper elencare tutti i volumi disponibili, inclusi quelli non attualmente assegnati a una lettera di unità, per identificare copie di backup o ombra potenziali. -
Script di Test di Regressione:
# Script di simulazione per attivare la logica delle regole di rilevamento del Ransomware Everest. # Nota: Questi comandi assumono che i file esistano nella directory corrente o nel percorso di sistema. # Per scopi di simulazione, utilizzeremo 'echo' per simulare l'esecuzione se i file non sono presenti, # ma per attivare la REGOLA ATTUALE, i file devono essere presenti. Write-Host "[+] Avvio Simulazione TTP Ransomware Everest..." -ForegroundColor Cyan # 1. Simula l'uso di mountvol.exe (Strumento Windows Standard) Write-Host "[*] Esecuzione mountvol.exe..." -ForegroundColor Yellow mountvol.exe # 2. Simula NetScan (Richiede netscan.exe nel percorso/directory) # Per lo scopo di questa validazione, creiamo un file fittizio per imitare il nome # se lo strumento reale non è disponibile, anche se la regola cerca l'esecuzione del processo. Write-Host "[*] Simulazione esecuzione netscan.exe..." -ForegroundColor Yellow if (Test-Path ".netscan.exe") { Start-Process ".netscan.exe" } else { Write-Host "[!] netscan.exe non trovato. Si prega di posizionare un netscan.exe fittizio in questa cartella per attivare il rilevamento." -ForegroundColor Red } # 3. Simula la rimozione di Raccine Write-Host "[*] Simulazione esecuzione Raccine.exe..." -ForegroundColor Yellow if (Test-Path ".Raccine.exe") { Start-Process ".Raccine.exe" } else { Write-Host "[!] Raccine.exe non trovato. Si prega di posizionare un Raccine.exe fittizio in questa cartella per attivare il rilevamento." -ForegroundColor Red } Write-Host "[+] Simulazione completa." -ForegroundColor Cyan -
Comandi di Pulizia:
# Rimuovi eventuali file fittizi creati durante la simulazione. Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completa." -ForegroundColor Green