Everest Team subisce un defacement e chiude il portale dei leak

Un defacement e molte ipotesi

Nel weekend del 5 aprile il sito Tor usato dell’operatore ransomware Everest Team per i leak ha mostrato una schermata di defacement ed è poi andato offline.

Il caso è rimasto irrisolto e si trascina dietro molti interrogativi. Intanto, l’attacco non è stato rivendicato e il messaggio visualizzato per diverse ore – “Don’t do crime CRIME IS BAD xoxo from Prague” – non ha portato ad alcuna attribuzione. Inoltre, l’ipotesi di un ricercatore, che la violazione sia avvenuta sfruttando la vulnerabilità di un template WordPress, non ha ricevuto convalide, né smentite. E la paventata possibilità di un accesso ai dati interni rischia di passare in ultimo piano.

Infatti, avendo escluso che la chiusura del portale sia avvenuta per intervento delle Forze dell’Ordine – in quei casi le schermate riportano contenuti ufficiali ben riconoscibili – alcuni analisti hanno evocato uno scenario da exit scam, simile a quello messo in atto da ALPHV Team nel 2024.

Il gruppo che gestiva il Ransomware-as-a-Service ALPHV/BlackCat avrebbe finto un sequestro da parte di Europol, Dipartimento di Giustizia americano e National Crime Agency britannica per trattenere tutti i proventi del colossale attacco a Change Healthcare. Tuttavia, non risulta che gli affiliati di Everest si siano lamentati di eventuali truffe.

Vittimologia ampia e in crescita

Everest Team, gruppo di presunta matrice russa attivo almeno dal 2020, ha iniziato le proprie attività malevole effettuando attacchi estorsivi basati esclusivamente sul furto di dati ed ha successivamente incluso un ransomware nelle proprie TTP. Gli operatori di Everest sono noti anche per fungere da Initial Access Broker.

Negli ultimi 5 anni, Everest ha colpito oltre 230 vittime. Da marzo 2022 a marzo 2025 ha pubblicato circa 100 rivendicazioni. Fra i settori maggiormente impattati, nel complesso, vi sono quelli della sanità, ingegneristico, dei servizi finanziari, legale, dei servizi professionali e governativo.

Gli attacchi al settore sanitario hanno impattato soprattutto gli USA, con un incremento tale da indurre, nell’agosto 2024, l’HC3 (Health Sector Cybersecurity Coordination Center) a rilasciare un alert su questo avversario. Nello stesso documento si fa riferimento a violazioni ai danni dell’agenzia spaziale statunitense NASA e al governo brasiliano.

Nel 2021 Everest Team ha violato la SIAE (Società Italiana degli Autori ed Editori). Il post di rivendicazione notificava un leak da 60 GB, comprendente documenti finanziari, account bancari, documenti personali e carte di credito degli iscritti, per i quali sarebbe stato richiesto un riscatto di €3 milioni in Bitcoin. Negli ultimi tre anni il gruppo ha compromesso organizzazioni italiane attive nei settori energetico, Oil & Gas, dei servizi professionali e tecnologico.

Fra le vittime globali spiccano la Telco AT&T, le compagnie assicurative americane Statefarm e MCNA Dental USA Insurance, la Federal Bank dell’India, la finanziaria svedese SH Pension e la compagnia australiana di profilazione Evidn.

L’ultimo caso eclatante, rivelato pubblicamente a gennaio scorso, è stato l’attacco contro l’americana STIIIZY, che opera come dispensario di cannabinoidi ad uso terapeutico. Fra i dati esposti, documenti di identità, patenti di guida, tessere sanitarie e transazioni finanziarie.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence