Ransomware Everest
En diciembre del 2020 se identificó un nuevo grupo de ransomware vinculado a Rusia llamado Everest, que rápidamente gano notoriedad al realizar ataques contra objetivos de alto perfil y compañías internacionales como AT&T, BMW, Coca-Cola y La NASA. Este grupo funciona bajo el modelo de ransomware como servicio (RaaS), también es importante mencionar que esta amenaza ha sido vinculada al ransomware BlackByte por similitudes en encriptadores y tácticas de ataque utilizadas.
Inicialmente esta amenaza se centraba en la exfiltración de datos, pero desde finales del 2022 se ha especializado en comprometer redes empresariales, instalar malware y vender accesos comprometidos. Esta transición demuestra un claro alejamiento de las tácticas tradicionales de ransomware, ya que no solo despliega su propio ransomware, sino que también actúa como facilitador, o mayor conocido como agente de acceso inicial. Everest emplea tácticas de doble extorsión, en las que cifran archivos después de que se hayan exfiltrado los datos críticos. Para recuperar la información, desencriptar y evitar que se hagan públicos los datos comprometidos, el grupo pide un pago de rescate.
Como vector de acceso inicial esta amenaza utiliza correos electrónicos con phishing, credenciales comprometidas y explotación de vulnerabilidades, una vez adentro emplean tácticas de reconocimiento, recolección y escaneos para escalar privilegios dentro de la red comprometida. Después de haber obtenido privilegios elevados el grupo realiza movimientos laterales en busca de archivos y datos críticos que puedan comprometer a las víctimas, el siguiente paso que realizan es detener las herramientas de seguridad del sistema y eliminar respaldos de información para evitar la recuperación de las víctimas. Lo último que realiza Everest es exfiltrar la información crítica, para posteriormente cifrar todos los archivos y dejar una nota de rescate.
Este grupo de ransomware amenaza a sus víctimas con publicar en su sitio web y en la dark web la información crítica y las credenciales de autentificación comprometidas. Esto podría provocar impactos significativos en las victimas ya comprometidas y en sus futuras víctimas, porque el grupo es conocido por vender las credenciales comprometidas, lo que pone en riesgo a las víctimas a próximos ataques.
Sitio de filtraciones de Everest [1]
También es importante mencionar que esta amenaza se dirige principalmente a víctimas que tienen giros empresariales enforcados en la salud, tecnología, finanzas y manufactura. Además, se detectó que tiene mayor presencia en países como Estados Unidos, Italia, Reino Unido, Emiratos Árabes Unidos y Germania.
Taxonomía
|
Tactic |
ID |
Technique |
|
Resource Development |
T1586 |
Compromise Accounts |
|
Initial Access |
T1566 |
Phishing |
|
T1078 |
Valid Accounts |
|
|
T1133 |
External Remote Services |
|
|
Execution |
T1059.001 |
Command and Scripting Interpreter: PowerShell |
|
T1059.003 |
Command and Scripting Interpreter: Windows Command Shell |
|
|
Persistence |
T1543.003 |
Create or Modify System Process: Windows Service |
|
T1543.003 |
Windows Service |
|
|
T1078 |
Valid Accounts |
|
|
Privilege Escalation |
T1078 |
Valid Accounts |
|
T1543 |
Create or Modify System Process |
|
|
T1543.003 |
Windows Service |
|
|
Defence Evasion |
T1070.004 |
Indicator Removal on Host: File deletion |
|
Credential Access |
T1003.001 |
OS Credential Dumping: LSASS Memory |
|
T1003.003 |
OS Credential Dumping: NTDS |
|
|
Discovery |
T1046 |
Network Service Discovery |
|
Lateral Movement |
T1021.001 |
Remote Services: Remote Desktop Protocol |
|
Collection |
T1005 |
Data from Local System |
|
T1560 |
Archive Collected Data |
|
|
T1560.001 |
Archive via Utility |
|
|
Command and Control |
T1071.001 |
Application Layer Protocol: Web Protocols |
|
T1219 |
Remote Access Software |
|
|
Exfiltration |
T1041 |
Exfiltration Over C2 Channel |
|
Impact |
T1486 |
Data Encrypted for Impact |
Indicadores de compromiso
|
IOC |
Tipo |
|
45.84.0.164 |
IPv4 |
|
18.193.71.144 |
IPv4 |
|
3.22.79.23 |
IPv4 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Alder, S. (2024, Agosto 23). Healthcare Sector Warned About Everest Ransomware Group. The Hipaa Journal. Recuperado el 23 de Octubre de 2025 en: https://www.hipaajournal.com/everest-ransomware-warning-healthcare/
- Gatlan, S. (2025, Abril 7). Everest ransomware's dark web leak site defaced, now offline. Bleeping Computer. Recuperado el 23 de Octubre de 2025 en: https://www.bleepingcomputer.com/news/security/everest-ransomwares-dark-web-leak-site-defaced-now-offline/
- Doyle, A. (2025, Abril 10). Everest Ransomware: data extortionist turned initial access broker - threat actors. Daily Security Review. Recuperado el 23 de Octubre de 2025 en: https://dailysecurityreview.com/resources/threat-actors-resources/everest-ransomware-data-extortionist-turned-initial-access-broker/
- Everest Ransomware: complete guide. (2025, Enero 10). SalvageData. Recuperado el 23 de Octubre de 2025 en: https://www.salvagedata.com/blog/everest-ransomware
