Everest es el nombre de uno de los tantos grupos de ransomware en actividad que, además de cifrar archivos de los sistemas comprometidos, busca presionar a las víctimas para que paguen el rescate extorsionándolas con publicar el nombre de la compañía afectada y la información que los cibercriminales lograron robar antes de cifrar la información. Sin embargo, en esta oportunidad el grupo no parece haber publicado el nombre de una organización atacada mediante ransomware, sino que utilizó su sitio en la dark web para poner a la venta supuestos accesos a varios sistemas del Gobierno argentino por un valor de 200 mil dólares.

Publicación en el sitio que utiliza el ransomware Everest en la dark web para publicar el nombre de sus víctimas

Los criminales no revelaron pruebas de los accesos que supuestamente dicen tener en su poder para la venta ni brindaron mayores detalles de cómo fue que los habrían obtenido.

De igual manera, la banda criminal publicó para la venta supuestos accesos a los sistemas gubernamentales de Perú y de otros organismos de Brasil por 30 mil dólares y 50 mil dólares respectivamente. En ambos casos tampoco precisaron mayores detalles o pruebas que permitan confirmar que realmente tienen estos accesos.

En el caso de la información relacionada con los sistemas del Gobierno de Argentina, vale la pena mencionar que a comienzos de octubre un usuario estuvo ofreciendo para la venta en foros de hacking credenciales de administrador de la red con acceso directo al domain controller accesibles mediante VPN y que a fines de octubre el mismo usuario estuvo ofreciendo comprar o intercambiar accesos a través de VPN a bases de datos de Argentina.

Publicación del 8 de octubre ofreciendo para la venta accesos a sistemas del Gobierno de Argentina

Publicación realizada el 26 de octubre por el mismo usuario y en el mismo foro, pero esta vez buscando comprar más accesos o intercambiando información.

En caso de confirmarse que la publicación realizada por la banda criminal Everest es legítima, sería interesante saber si obtuvieron las credenciales como consecuencia de un ataque en el cual posteriormente cifraron los archivos de los sistemas comprometidos o cómo fue que los obtuvieron. Este año grupos de ransomware como Babuk manifestaron que ya no estaban interesados en cifrar los archivos de los sistemas comprometidos y que el foco pasó a ser robar y publicar información de sus víctimas para extorsionarlas y así obtener una ganancia económica. ¿Será esta una nueva tendencia?