✅ 보고서 제목: 위협 그룹 프로파일링: 에베레스트(Everest)

✅ 보고서 요약:

- Everest는 2020년 말부터 활동한 위협 그룹으로, 데이터 유출과 기업 접근 권한 판매를 병행하며 법률 산업을 시작으로 다수 국가와 산업을 공격해 왔습니다.

- Everest는 2020년 11~12월부터 활동을 시작한 위협 그룹입니다.

- 2020년 12월 ‘Everest ransom team’이라는 이름의 릭사이트(leak site)가 공개되었습니다.

- 콜로니얼 파이프라인 공격 이후 주요 해킹 포럼에서 랜섬웨어 활동이 금지되면서 2021년 5월에 Everest 그룹의 릭사이트도 운영이 중단되었습니다.

- 콜로니얼 파이프라인 공격: 2021년 5월 미국의 주요 송유관 운영사인 Colonial Pipeline이 랜섬웨어 공격을 받아 중단된 사건으로, FBI는 러시아 기반으로 알려진 DarkSide라는 랜섬웨어 그룹이 공격 배후라고 발표했습니다.

- Everest는 탈취한 피해 기업의 데이터를 유출하는 것뿐 아니라 기업의 접속 권한을 판매하는 Access Broker 형태의 활동도 확인됐습니다.

- 2025년 4월에는 릭사이트가 공격을 받아 접속이 불가능해졌으며, 알 수 없는 공격자에 의해 홈페이지가 변조되고 풍자성 경고 메시지가 게시된 정황이 확인됐습니다.

- Everest는 미국과 유럽을 주요 공격 대상으로 삼았습니다.

- 이와 함께 일본, 중국, 대만, 태국, 베트남, 한국 등 아시아 국가들도 공격을 받은 정황이 포착됐습니다.

- 2020년부터 2022년까지는 법률 서비스 산업을 주요 공격 대상으로 삼았습니다.

- 이 기간 동안 확인된 피해자 중 35% 이상이 법률 산업에 속한 것으로 확인됐습니다.

- 이후 공격 영역을 확장해 2025년 10월에는 아일랜드의 한 공항과 미국의 대형 통신사가 랜섬웨어 그룹의 유출 사이트에 이름을 올렸습니다.

- 2025년 12월에는 대만의 컴퓨터 제조 기업이 감염된 정황도 확인됐습니다.

- 2026년 1월 10일, 일본 자동차 기업 N사가 Everest 그룹에게 공격받은 정황이 확인되었습니다. Everest 그룹은 900GB 데이터를 확보했다고 주장했으며 총 6개의 샘플 이미지를 업로드하고 8일 후 데이터를 공개할 것이라고 공지했습니다.

Everest 그룹 릭사이트

- Everest 랜섬웨어는 2018년~2020년까지 사용된 Everbe 랜섬웨어의 변종으로 알려져 있습니다.

- 파일 암호화에는 국제적으로 가장 많이 사용되는 표준 암호화 방식인 AES(Advanced Encryption Standard)를 사용하고, AES 복호화 키는 다시 RSA 방식으로 암호화합니다.

- 암호화된 파일에는 EVEREST 확장자가 추가된 것으로 알려져 있습니다.

- MS에서 제공하는 프로그램 오류 분석 도구인 ProcDump를 악용해 LSASS(Local Security Authority Subsystem Service) 프로세스 내에서 메모리 내용을 추출하는 방식으로 개별 시스템의 로그인 자격 증명을 탈취합니다.

- NTDS(New Technology Directory Services)에 저장된 Active Directory 정보가 포함된 데이터베이스 사본을 생성합니다.

- Active Directory: 조직 내 사용자 계정과 접근 권한을 중앙에서 관리하는 윈도우 기반 디렉터리 서비스

🧑‍💻 보고서 작성자: S2W TALON

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.