Отчеты NccGroup связывают программу Everest ransomware с семейством Everbe 2.0, в которое входят программы Embrace, PainLocker, EvilLocker и Hyena Locker ransomware. Однако после восстановления и анализа файла Everest ransomware компания NccGroup со средней степенью уверенности считает, что Everest ransomware связана с Black-Byte.
BlackByte Ransomware
В целом, NccGroup выявила следующие основные ТТП для Everest ransomware:
- Боковое перемещение через протокол удаленного рабочего стола (RDP).
- Сбор внутренних IP-адресов для хостов в сети
- Локальные дампы LSASS
- дампы NTDS.dit
- Установка средств удаленного доступа
Действия Everest по достижению целей, похоже, сосредоточены на утечке конфиденциальной информации, а также на шифровании.
Indicators of Compromise
IPv4
- 18.193.71.144
- 3.22.79.23
- 45.84.0.164
IPv4 Port Combinations
- 18.193.71.144:10443
- 3.22.79.23:10443
- 3.22.79.23:8080
- 45.84.0.164:10443
URLs
- http://18.193.71.144:10443/match
- http://3.22.79.23:10443/ga.js
- http://3.22.79.23:8080/
- http://3.22.79.23:8080/a
- http://45.84.0.164:10443/o6mJ