Ransomware Everest Combina Criptografia, Acesso e Ameaças Internas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Everest é uma operação de ransomware baseada em Windows ativa desde dezembro de 2020, que segue um modelo de múltiplas receitas baseado em criptografia, corretagem de acesso inicial e recrutamento interno. O grupo usa AES-128-CBC para criptografia e aplica uma estratégia de dupla extorsão, ameaçando publicar dados roubados em um site de vazamento baseado em Tor. Também mostra sobreposição técnica com o ransomware BlackByte, particularmente por meio de seu comportamento de geração de chave local.
Investigação
O relatório descreve a cadeia de execução do Everest desde o acesso inicial via RDP ou VPN até a evasão de defesa e criptografia final. Analisa o uso do .NET ofuscação pelo malware com ConfuserEx e seus métodos para desativar opções de recuperação, como Cópias de Sombra e pontos de Restauração do Sistema. A revisão técnica também examina sua atividade de descoberta de rede, incluindo o uso do SoftPerfect Network Scanner.
Mitigação
As organizações devem aplicar autenticação multifator em todos os pontos de entrada RDP e VPN para reduzir o risco de comprometimento inicial. As equipes de segurança devem monitorar alterações não autorizadas no Acesso Controlado a Pastas do Windows Defender e tentativas de desativar Cópias de Sombra. Limitar privilégios administrativos e detectar a execução de ferramentas de varredura de rede, como netscan.exe também pode ajudar a reduzir a exposição.
Resposta
Se a atividade do Everest for detectada, os sistemas afetados devem ser isolados imediatamente para interromper o movimento lateral e a criptografia adicional. Os respondedores devem identificar e encerrar processos tentando alterar descritores de segurança ou deletar dados de backup em larga escala. As equipes de resposta a incidentes também devem determinar se houve exfiltração de dados por canais baseados em Tor antes que o confinamento e a recuperação prossigam.
Fluxo de Ataque
Detecções
Possível Descoberta de Compartilhamentos de Rede (via cmdline)
Ver
Atividade Suspeita do VSSADMIN (via cmdline)
Ver
Possível Exclusão de Cópias de Sombra via WMI (via powershell)
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Detecção de Técnicas de Evasão de Defesa Pré-Criptografia do Ransomware Everest [Windows Powershell]
Ver
Descoberta de Rede do Ransomware Everest e Evasão de Defesa [Criação de Processos do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: Um adversário obteve acesso inicial a uma estação de trabalho Windows. Para preparar a fase de implantação do ransomware, eles precisam mapear a rede local para identificar alvos de alto valor e garantir que nenhuma ferramenta anti-ransomware esteja ativa. O adversário tenta executar
netscan.exe(SoftPerfect Network Scanner) para descobrir hosts ativos e usamountvol.exepara listar todos os volumes disponíveis, incluindo aqueles que não estão atualmente atribuídos a uma letra de unidade, para identificar possíveis backups ou cópias de sombra. -
Script de Teste de Regressão:
# Script de simulação para acionar a lógica de regra de detecção do Ransomware Everest. # Nota: Esses comandos assumem que os arquivos existem no diretório atual ou no caminho do sistema. # Para fins de simulação, usaremos 'echo' para simular a execução se os arquivos não estiverem presentes, # mas para acionar a regra REAL, os arquivos devem estar presentes. Write-Host "[+] Iniciando Simulação de TTP do Ransomware Everest..." -ForegroundColor Cyan # 1. Simular uso do mountvol.exe (Ferramenta padrão do Windows) Write-Host "[*] Executando mountvol.exe..." -ForegroundColor Yellow mountvol.exe # 2. Simular NetScan (Requer netscan.exe no caminho/dir) # Para fins de validação, criamos um arquivo fictício para imitar o nome # se a ferramenta real não estiver disponível, embora a regra procure a execução do processo. Write-Host "[*] Simulando execução do netscan.exe..." -ForegroundColor Yellow if (Test-Path ".netscan.exe") { Start-Process ".netscan.exe" } else { Write-Host "[!] netscan.exe não encontrado. Por favor, coloque um netscan.exe simulado nesta pasta para acionar a detecção." -ForegroundColor Red } # 3. Simular remoção do Raccine Write-Host "[*] Simulando execução do Raccine.exe..." -ForegroundColor Yellow if (Test-Path ".Raccine.exe") { Start-Process ".Raccine.exe" } else { Write-Host "[!] Raccine.exe não encontrado. Por favor, coloque um Raccine.exe simulado nesta pasta para acionar a detecção." -ForegroundColor Red } Write-Host "[+] Simulação completa." -ForegroundColor Cyan -
Comandos de Limpeza:
# Remove quaisquer arquivos simulados criados durante a simulação. Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue Write-Host "[+] Limpeza completa." -ForegroundColor Green