Home Everest Ransomware: complete gids

Everest Ransomware: complete gids

Everest ransomware is een beruchte cybercriminele groep die sinds december 2020 actief is. Ze richten zich op organisaties in verschillende sectoren en regio’s, met spraakmakende slachtoffers, waaronderNASAen de Braziliaanse regering. De Russischsprekende groep beweert toegang te hebben tot gevoelige systeemgegevens en eist vaak losgeld in ruil voor het niet vrijgeven van de gestolen informatie, een tactiek die bekend staat als dubbele afpersing. Everest ransomware staat bekend om zijn data-exfiltratiemogelijkheden en is gekoppeld aan andere ransomware-families zoals Everbe 2.0 en BlackByte. De groep lekt niet alleen informatie,ze verkopen toegang tot het geïnfecteerde netwerk. Dit betekent dat de getroffen organisaties tegelijkertijd te maken krijgen met meerdere infecties en herhaalde aanvallen.

Experts van SalvageData raden proactieve maatregelen voor gegevensbeveiliging aan, zoals regelmatige back-ups, krachtige cyberbeveiligingspraktijken en het up-to-date houden van software, ter bescherming tegen ransomware-aanvallen. En,Neem in geval van een ransomware-aanval contact op met onzeexperts op het gebied van ransomwareherstelonmiddellijk.

Wat voor soort malware is Everest?

De Everest-ransomware is een type malware dat zich specifiek richt op organisaties in verschillende sectoren en regio's. Het codeert de bestanden van het slachtoffer, waardoor ze ontoegankelijk worden, en eist losgeld in ruil voor de decoderingssleutel. Experts denken dat het deel uitmaakt van de Black-Byte-familie en eerder gekoppeld was aan de Everbe 2.0-familie. De Everest-ransomwaregroep is actief sinds minstens december 2020 en is betrokken geweest bij datalekken, initiële toegang en losgeldeisen. Er is waargenomen dat de ransomware gebruikmaakt van legitieme gecompromitteerde gebruikersaccounts en Remote Desktop Protocol (RDP) voor zijdelingse verplaatsing. Ze hebben zich ook gericht op verschillende overheidskantoren van staten, waaronder Argentinië, Peru en Brazilië.

Aanbevolen lees:Scarab Ransomware: complete gids

Alles wat we weten over Everest Ransomware

Bevestigde naam

  • Everest-virus

Bedreigingstype

  • Ransomware
  • Crypto-virus
  • Bestandenkluis
  • Dubbele afpersing

Gecodeerde bestandsextensie

  • .EVEREST

Bericht waarin losgeld wordt geëistHet bericht wordt meestal weergegeven als een pop-upvenster of een tekstbestand dat op het bureaublad verschijnt of in mappen met gecodeerde bestanden.Is er een gratis decryptor beschikbaar?Nee, er is geen openbare decryptor voor de Everest-ransomware.Distributiemethoden

  • Phishing-e-mails
  • Exploitkits
  • Remote Desktop Protocol (RDP) gecompromitteerd
  • Schadelijke downloads

Gevolgen

  • Bestanden worden gecodeerd en vergrendeld totdat het losgeld wordt betaald
  • Datalek
  • Laat het netwerk open voor nieuwe gelijktijdige aanvallen
  • Dubbele afpersing

Wat staat er in de losgeldbrief van Everest?

Het losgeldbericht dat door de Everest-ransomware wordt weergegeven, kan variëren, afhankelijk van de gebruikte variant. Het losgeldbericht dat wordt weergegeven door de Everest-ransomware heeft geen specifieke bestandsnaam. Het bericht wordt weergegeven als een pop-upvenster of een tekstbestand dat op het bureaublad verschijnt of in mappen met gecodeerde bestanden.

Als u zich realiseert dat u een ransomware-slachtoffer bent, kunt u door contact op te nemen met de experts op het gebied van ransomware-verwijdering van SalvageData een veilige service voor gegevensherstel en verwijdering van ransomware na een aanval krijgen.

Hoe infecteert de Everest-ransomware een machine of netwerk?

Phishing-e-mails

Phishing-e-mails zijn een veelgebruikte methode die door aanvallers wordt gebruikt om de Everest-ransomware te verspreiden. De aanvallers sturen e-mails die afkomstig lijken te zijn van een legitieme bron, zoals een bank of een bedrijf, en een kwaadaardige bijlage of een link bevatten naar een website die de malware host. Zodra het slachtoffer op de bijlage of de link klikt, wordt de malware op zijn systeem geïnstalleerd.

Exploitkits

Exploitkits zijn geautomatiseerde programma's die door cybercriminelen worden gebruikt om bekende kwetsbaarheden in systemen of applicaties te misbruiken. Ze kunnen worden gebruikt om in het geheim aanvallen uit te voeren terwijl de slachtoffers op internet surfen, met als doel een soort malware te downloaden en uit te voeren. De Everest-ransomware-aanvallers gebruiken exploitkits om kwetsbaarheden in de systemen van de slachtoffers te misbruiken en de malware te installeren. De exploitkits kunnen worden geleverd via kwaadaardige websites of e-mails.

Remote Desktop Protocol (RDP) gecompromitteerd

Remote Desktop Protocol (RDP) is een protocol waarmee iemand op afstand een computer kan besturen die op internet is aangesloten. De externe persoon ziet wat er op het scherm staat van de computer die hij bestuurt, en zijn toetsenbord en muis werken net zoals de muis die fysiek op de externe computer is aangesloten. RDP is echter een favoriet doelwit geworden voor ransomware-aanvallen, en kwaadwillende cyberactoren hebben methoden ontwikkeld om kwetsbare RDP-sessies via internet te identificeren en te exploiteren om identiteiten en inloggegevens te stelen en vervolgens ransomware-aanvallen te installeren en uit te voeren. Aanvallers gebruiken brute force-aanvallen om wachtwoorden te raden om RDP-inloggegevens te vinden.

Schadelijke downloads

Schadelijke downloads zijn een vorm van distributiemethode voor malware waarbij gebruikers worden misleid om met malware geïnfecteerde software of bestanden te downloaden en te installeren. De aanvallers Everest ransomware-acteurs gebruiken valse software-updates of downloads om slachtoffers te misleiden zodat ze de malware downloaden en installeren. De kwaadaardige downloads kunnen worden afgeleverd via e-mails of websites.

Hoe werkt de Everest-ransomware

Zodra de malware op de systemen van de slachtoffers is geïnstalleerd, worden hun bestanden gecodeerd met behulp van AES- en DES-algoritmen en wordt de extensie “.EVEREST” aan de gecodeerde bestanden toegevoegd. De aanvallers geven vervolgens een losgeldbericht weer met instructies over hoe ze contact met hen kunnen opnemen en hoe ze het losgeld kunnen betalen om de decoderingssleutel te verkrijgen.

Laterale beweging

De Everest-ransomware maakte gebruik van een combinatie van legitieme gecompromitteerde gebruikersaccounts en Remote Desktop Protocol (RDP) voor zijdelingse verplaatsing binnen de netwerkinfrastructuur.

Toegang tot legitimatie

Om toegang te krijgen tot aanvullende inloggegevens maakte de bedreigingsacteur gebruik van ProcDump, dat werd gebruikt om een ​​kopie van het LSASS-proces te maken. Dit resulteerde in de creatie van een bestand. Bovendien werd er ook een kopie van de NTDS-database gegenereerd en opgeslagen als een bestand met de naam ntds.dit.zip.

Ontduiking van defensie

In de loop van het incident verwijderde de bedreigingsacteur consequent verschillende tools, verkenningsuitvoerbestanden en archieven voor gegevensverzameling van besmette hosts als een manier om detectie te omzeilen.

Ontdekking

Na het compromitteren van een nieuwe host, hield de bedreigingsacteur zich bezig met netwerkdetectieactiviteiten. Dit werd voornamelijk bereikt door het gebruik van tools zoals netscan.exe, netscanpack.exe en SoftPerfectNetworkScannerPortable.exe. Door netwerkscans uit te voeren, probeerde de bedreigingsacteur potentiële doelwitten te identificeren en een lijst samen te stellen voor mogelijke implementatie van ransomware.

Verzameling

Een opmerkelijke actie van de bedreigingsacteur was de installatie van de WinRAR-applicatie op een bestandsserver. Deze applicatie werd vervolgens gebruikt om gegevens te archiveren en voor te bereiden op eventuele exfiltratie.

Commando en controle

Het belangrijkste commando- en controlemechanisme dat door de dreigingsactor werd gebruikt, was Cobalt Strike. Bovendien werd een Metasploit-payload ontdekt binnen het pad C:UsersPublicl.exe. Naast deze primaire methoden heeft de bedreigingsacteur ook verschillende Remote Access Tools ingezet als secundaire commando- en controlemethode. Deze tools werden verder gebruikt voor het tot stand brengen van persistentie, waarbij deze tools als services werden geïnstalleerd. Er werden tools voor externe toegang gebruikt

  • Elk bureau
  • Splashtop extern bureaublad
  • Ga weg

Exfiltratie

Om gegevens uit het gecompromitteerde netwerk te exfiltreren, maakte de bedreigingsacteur gebruik van de bestandsoverdrachtmogelijkheden van Splashtop.

Betaal het losgeld niet!Als u contact opneemt met een ransomware-verwijderingsservice, kunt u niet alleen uw bestanden herstellen, maar ook eventuele potentiële bedreigingen verwijderen.

Hoe om te gaan met een Everest ransomware-aanval

De eerste stap bij het herstellen van een Everest-aanval is het isoleren van de geïnfecteerde computer door deze los te koppelen van het internet en alle aangesloten apparaten te verwijderen. Dan moet u contact opnemen met de lokale autoriteiten. In het geval van inwoners en bedrijven in de VS is dit delokaal FBI-veldkantooren deKlachtencentrum Internetcriminaliteit (IC3)Om een ​​ransomware-aanval te melden, moet u alle mogelijke informatie hierover verzamelen, waaronder:

  • Screenshots van de losgeldbrief
  • Communicatie met dreigingsactoren (als u die heeft)
  • Een voorbeeld van een gecodeerd bestand

Echter, als u dat liever heeftcontact opnemen met professionals, doe dan niets.Laat elke geïnfecteerde machine zoals deze isen vraag om eennoodverwijderingsservice voor ransomware. Het opnieuw opstarten of afsluiten van het systeem kan de herstelservice in gevaar brengen. Het vastleggen van het RAM-geheugen van een live systeem kan helpen bij het verkrijgen van de encryptiesleutel, en het vangen van een dropper-bestand, d.w.z. een bestand dat de kwaadaardige lading uitvoert, kan worden onderworpen aan reverse-engineering en leiden tot het ontsleutelen van de gegevens of tot inzicht in de werking ervan. U moetverwijder de ransomware nieten bewaar elk bewijs van de aanval. Dat is belangrijk voordigitaal forensisch onderzoekzodat experts de hackergroep kunnen herleiden en identificeren. Het is door de gegevens op uw geïnfecteerde systeem te gebruiken dat de autoriteiten dit kunnen doenonderzoek de aanval en vind de verantwoordelijke.Een cyberaanvalonderzoek verschilt niet van ieder ander strafrechtelijk onderzoek: er is bewijsmateriaal nodig om de aanvallers te kunnen opsporen.

1. Neem contact op met uw Incident Response-leverancier

Een Cyber ​​Incident Response is het proces van reageren op en beheren van een cyberbeveiligingsincident. Een Incident Response Retainer is een serviceovereenkomst met een cybersecurityprovider waarmee organisaties externe hulp kunnen krijgen bij cybersecurity-incidenten. Het biedt organisaties een gestructureerde vorm van expertise en ondersteuning via een beveiligingspartner, waardoor ze snel en effectief kunnen reageren tijdens een cyberincident. Een incidentresponsretainer biedt organisaties gemoedsrust en biedt deskundige ondersteuning voor en in de nasleep van een cyberbeveiligingsincident. De specifieke aard en structuur van een incidentresponshouder zal variëren afhankelijk van de aanbieder en de vereisten van de organisatie. Een goede incidentresponshouder moet robuust maar flexibel zijn en bewezen diensten leveren om de beveiligingspositie van een organisatie op de lange termijn te verbeteren.Als u contact opneemt met uw IR-serviceprovider, kunnen zij het onmiddellijk overnemen en u bij elke stap in het herstel van de ransomware begeleiden.Als u echter besluit de ransomware zelf te verwijderen en de bestanden samen met uw IT-team te herstellen, kunt u de volgende stappen volgen.

2. Identificeer de ransomware-infectie

U kunt identificeren welke ransomware uw machine heeft geïnfecteerd aan de hand van de bestandsextensie (sommige ransomware gebruikt de bestandsextensie als naam),met behulp van een ransomware-ID-tool, anders staat het op de losgeldbrief. Met deze informatie kunt u zoeken naar een openbare decoderingssleutel. U kunt ook het type ransomware controleren aan de hand van de IOC's. Indicators of Compromise (IOC's) zijn digitale aanwijzingen die cyberbeveiligingsprofessionals gebruiken om systeemcompromissen en kwaadaardige activiteiten binnen een netwerk- of IT-omgeving te identificeren. Het zijn in wezen digitale versies van bewijsmateriaal dat op een plaats delict is achtergelaten, en potentiële IOC's omvatten ongewoon netwerkverkeer, geprivilegieerde gebruikersaanmeldingen uit het buitenland, vreemde DNS-verzoeken, wijzigingen in systeembestanden en meer. Wanneer een IOC wordt gedetecteerd, evalueren beveiligingsteams mogelijke bedreigingen of valideren ze de authenticiteit ervan. IOC's leveren ook bewijs van waartoe een aanvaller toegang had als hij het netwerk zou infiltreren.

3. Verwijder de ransomware en elimineer exploitkits

Voordat u uw gegevens herstelt, moet u garanderen dat uw apparaat vrij is van ransomware en dat de aanvallers geen nieuwe aanval kunnen uitvoeren via exploitkits of andere kwetsbaarheden. Een ransomware-verwijderingsservice kan de ransomware verwijderen, een forensisch document voor onderzoek maken, kwetsbaarheden elimineren en uw gegevens herstellen.

4. Gebruik een back-up om de gegevens te herstellen

Back-ups zijn de meest efficiënte manier om gegevens te herstellen. Zorg ervoor dat u dagelijkse of wekelijkse back-ups maakt, afhankelijk van uw datagebruik.

5. Neem contact op met een ransomware-herstelservice

Als je geen back-up hebt of hulp nodig hebt bij het verwijderen van de ransomware en het elimineren van kwetsbaarheden, neem dan contact op met een gegevensherstelservice. Het betalen van het losgeld garandeert niet dat uw gegevens aan u worden geretourneerd. De enige gegarandeerde manier waarop u elk bestand kunt herstellen, is als u een back-up hebt. Als u dat niet doet, kunnen ransomware-gegevenshersteldiensten u helpen de bestanden te decoderen en te herstellen. De experts van SalvageData kunnen uw bestanden veilig herstellen en voorkomen dat de Everest-ransomware uw netwerk opnieuw aanvalt. Neem 24/7 contact op met onze experts voor ransomware-hersteldiensten.

Voorkom de Everest ransomware-aanval

Het voorkomen van ransomware is de beste oplossing voor gegevensbeveiliging. is gemakkelijker en goedkoper dan ervan herstellen. Everest-ransomware kan de toekomst van uw bedrijf schaden en zelfs de deuren sluiten. Dit zijn een paar tips om ervoor te zorgen dat u dat kunt doenvermijd ransomware-aanvallen:

  • Houd uw besturingssysteem en software up-to-datemet de nieuwste beveiligingspatches en updates. Dit kan kwetsbaarheden helpen voorkomen die door aanvallers kunnen worden misbruikt.
  • Gebruik sterke en unieke wachtwoordenvoor alle accounts en schakel waar mogelijk tweefactorauthenticatie in. Dit kan helpen voorkomen dat aanvallers toegang krijgen tot uw accounts.
  • Wees voorzichtig met verdachte e-mails, links en bijlagen.Open geen e-mails en klik niet op links of bijlagen van onbekende of verdachte bronnen.
  • Gebruik betrouwbare antivirus- en antimalwaresoftwareen houd het up-to-date. Dit kan helpen bij het detecteren en verwijderen van malware voordat deze schade kan veroorzaken.
  • Gebruik een firewallom ongeautoriseerde toegang tot uw netwerk en systemen te blokkeren.
  • Beperk gebruikersrechtenom te voorkomen dat aanvallers toegang krijgen tot gevoelige gegevens en systemen.
  • Medewerkers en personeel opleidenover hoe u phishing-e-mails en andere social engineering-aanvallen kunt herkennen en vermijden.

Related Posts

Hoe u uw naam kunt wijzigen in BGMI: 2025 Guide

Hoe u uw naam kunt wijzigen in BGMI: 2025 Guide

2025-07-21
Hoe u CHKDSK kunt repareren die niet actief is bij Startup in Windows 11

Hoe u CHKDSK kunt repareren die niet actief is bij Startup in Windows 11

2025-03-28
12 tips om het batterijgebruik op de iPhone te verminderen

12 tips om het batterijgebruik op de iPhone te verminderen

2025-04-30
Hoe u dubbele pijlen overlay op pictogrammen in Windows 10 kunt verwijderen

Hoe u dubbele pijlen overlay op pictogrammen in Windows 10 kunt verwijderen

2025-04-30
Hoe u de fout "niet kan monteren"

Hoe u de fout "niet kan monteren"

2025-04-20
Kunstmatige intelligentie

Kunstmatige intelligentie

2025-01-06
Beantwoord: Kan Smart Switch overbrengen van Samsung naar iPhone? 6 alternatieven

Beantwoord: Kan Smart Switch overbrengen van Samsung naar iPhone? 6 alternatieven

2024-10-09
Van Chandini Chowk tot Gurgaon: 5 apps om lokaal te reizen in dit feestseizoen

Van Chandini Chowk tot Gurgaon: 5 apps om lokaal te reizen in dit feestseizoen

2016-10-12
Hoe Copilot te verwijderen en AI

Hoe Copilot te verwijderen en AI

2025-04-03
Download Microsoft Office 2021 volledig gratis 32/64 bit (geactiveerde versie)

Download Microsoft Office 2021 volledig gratis 32/64 bit (geactiveerde versie)

2024-06-07
DNS-propagatie: wat het is en waarom het belangrijk is

DNS-propagatie: wat het is en waarom het belangrijk is

2024-11-08
cPanel Cloud-webhosting

cPanel Cloud-webhosting

2025-03-22
Kan ik AirDrop voor Android gebruiken? Nee. Hier zijn de vier meest haalbare alternatieven

Kan ik AirDrop voor Android gebruiken? Nee. Hier zijn de vier meest haalbare alternatieven

2024-10-11
HTML naar WordPress conversieproject

HTML naar WordPress conversieproject

2024-12-28
DNS-propagatie: wat het is en waarom het belangrijk is

DNS-propagatie: wat het is en waarom het belangrijk is

2024-11-18