Everest

Überblick

Die Erpressergruppe Everest sammelt und analysiert gezielt Informationen über ihre Opfer, bevor sie zuschlägt. Ihr besonderes Interesse gilt sensiblen Daten: persönlichen Informationen von Kunden, Finanzdaten, Datenbanken sowie Kreditkarteninformationen. Die Gruppe setzt auf eine doppelte Erpressung, indem sie erbeutete Daten im Darknet veröffentlicht und ihre Opfer damit unter Druck setzt. Wer nicht auf eine Kontaktaufnahme reagiert, muss mit der Offenlegung der gestohlenen Daten rechnen. Everest macht zudem deutlich, dass entwendete Dateien nicht gelöscht, sondern für eine spätere Weiterverwendung aufbewahrt werden — die betroffenen Organisationen bleiben damit auch nach einem Vorfall einem fortbestehenden Risiko ausgesetzt. Das Vorgehen ist auf maximalen Druck ausgelegt: Die Kombination aus Datendiebstahl, Verschlüsselung und der Drohung mit dauerhafter Veröffentlichung soll die Zahlungsbereitschaft erhöhen. Betroffen sind Einrichtungen unterschiedlicher Branchen, deren wirtschaftlich oder personenbezogen wertvolle Datenbestände für die Gruppe besonders attraktiv sind.

Taktiken & Vorgehen

Everest kombiniert legitime Fernwartungssoftware wie AnyDesk, Atera und Splashtop mit offensiven Werkzeugen wie Cobalt Strike, Metasploit und Meterpreter; zur Aufklärung dienen SoftPerfect NetScan und ProcDump. Netzwerkfreigaben werden über „net view“, NetDfsEnum, WNetEnumResource sowie WMI-Klassen erkundet, die ARP-Tabelle per „arp -a“ ausgewertet und Hosts via Wake-On-LAN aktiviert. Die Schadsoftware ist mit ConfuserEx verschleiert, löst native API-Aufrufe dynamisch über LoadLibrary/GetProcAddress auf und entschlüsselt Zeichenketten zur Laufzeit. Über Registry-Manipulationen, ein Single-Instance-Mutex und einen CIS-Geo-Fence steuert sie ihre Ausführung. Sicherheits- und Backup-Dienste werden per ServiceController gestoppt und dauerhaft deaktiviert, rund einhundert Dienste betroffen. Die Verschlüsselung erfolgt mit AES-128-CBC auf lokalen Laufwerken und SMB-Freigaben; Schattenkopien werden über VSS und „vssadmin“ gelöscht.

Schutzmaßnahmen

Der Einsatz legitimer Fernwartungswerkzeuge wie AnyDesk, Atera und Splashtop sollte über Anwendungssteuerung eingeschränkt und auf freigegebene Instanzen begrenzt werden; unautorisierte Installationen sollten erkannt und blockiert werden. Da Everest sich über SMB-Freigaben und „net use“ lateral ausbreitet, sollten Netzwerkfreigaben segmentiert und Zugriffe restriktiv vergeben werden. Aktivitäten von Cobalt Strike, Metasploit und Meterpreter sollten durch netzwerk- und endpunktseitige Erkennung adressiert werden. Das Stoppen sicherheitsrelevanter Dienste sowie das Löschen von Schattenkopien über VSS und „vssadmin“ sollten überwacht und durch manipulationsgeschützte Backups abgesichert werden. Verdächtige Registry-Schreibzugriffe und die Ausführung verschleierter Binärdateien sollten protokolliert und ausgewertet werden.