В минувшие выходные даркнет-сайт вымогательской группировки Everest был взломан, после чего ушел в офлайн. Взломщики заменили содержимое сайта на саркастическое сообщение: «Не совершайте преступлений, ПРЕСТУПЛЕНИЯ ЭТО ПЛОХО, xoxo из Праги».
Судя по всему, после атаки операторы Everest удалили свой сайт: ресурс не загружается и отображает ошибку «Onion site not found».
Пока неизвестно, как хакер получил доступ к сайту Everest, и был ли тот взломан. Эксперт отдела по анализу угроз компании Flare Тэмми Харпер (Tammy Harper) и другие специалисты полагают, что в атаке могла использоваться потенциальная уязвимость WordPress.
«Стоит отметить, что Everest использовали для своего блога шаблон WordPress. Не удивлюсь, если дело именно в этом», — пишет Харпер.
Хак-группа Everest появилась в 2020 году и за прошедшие годы успела полностью сменить тактику: от обычной кражи данных у корпораций с целью последующего вымогательства до использования вымогательской малвари, которая шифровала скомпрометированные системы.
Также операторы Everest были замечены за перепродажей полученных доступов к корпоративным сетям другим хак-группам и злоумышленникам.
За пять лет активности Everest опубликовала на своем сайте в даркнете информацию о 230 жертвах. Сайт использовался для реализации классической схемы двойного вымогательства: хакеры вынуждали пострадавших заплатить выкуп под угрозой раскрытия украденных данных, содержащих конфиденциальную информацию.
В августе 2024 года Министерство здравоохранения и социальных служб США предупреждало, что Everest все чаще атакует медицинские организации на территории Соединенных Штатов.
Также американские власти связывали Everest с несколькими конкретными атаками, включая утечки данных из американского космического агентства NASA и правительства Бразилии.
