🎯 Contexte

Publié le 11 juin 2026 sur SuspectFile.com par Marco A. De Felice (alias amvinfe), cet article présente une interview exclusive du groupe cybercriminel Everest, actif depuis au moins 2020. Il s’agit d’un échange direct entre le journaliste et les opérateurs du groupe, offrant une perspective rare sur leur évolution opérationnelle sur six ans.

🕰️ Évolution opérationnelle

Everest a initialement opéré selon un modèle basé exclusivement sur l’exfiltration de données et l’extorsion par menace de publication, sans chiffrement. Le groupe a ensuite adopté la double extorsion (vol + chiffrement) après avoir constaté que le chiffrement des systèmes génère une pression financière plus efficace sur les victimes.

  • Premier test de ransomware sur une entreprise nommée XEFI (environ 1 000 employés)
  • Passage au modèle double extorsion après validation de l’efficacité du chiffrement
  • Développement de scripts de négociation psychologique et de fuites ciblées vers partenaires et clients des victimes

🏗️ Structure et organisation

  • Noyau central restreint, complété par des affiliés et collaborateurs externes pour des tâches spécifiques
  • Rôles distincts : accès initial, opérations ransomware, négociateurs, développeurs
  • Pas de journaux de chat détaillés, pas d’historique de clés centralisé
  • Segmentation des tâches au sein même du noyau (aucun membre ne connaît l’image complète)

🎯 Ciblage et secteurs

  • Cibles principales : États-Unis, Canada, Europe
  • Secteur santé progressivement intégré en raison de la valeur des données (recherche, assurance, données patients)
  • Règle interne déclarée : pas de chiffrement des infrastructures critiques (blocs opératoires, USI)
  • Pas de publication de données d’écoles ou d’universités selon le groupe

🛠️ Méthodes d’accès initial

  • Credentials compromis, outils d’accès distant, phishing
  • Scanners, brute force
  • Achat d’accès auprès de vendeurs tiers (IAB) quand plus rapide/économique
  • Activité de courtier d’accès initial (IAB) décrite comme marginale par rapport aux attaques complètes

🔧 Outils et infrastructure

  • Base : outils publics modifiés
  • Infrastructure de blog/leak reconstruite sur un nouveau site onion
  • Système de négociation automatisé
  • Évitement des builds LockBit publics et réutilisation de wallets

🌐 Positionnement dans l’écosystème

  • Distanciation volontaire des autres groupes (Black Basta, Hive, ALPHV cités comme disparus)
  • Aucune relation officielle maintenue avec d’autres groupes
  • Attributions à EverBe 2.0 et BlackByte non confirmées ni démenties explicitement
  • Vision : le modèle double extorsion va perdurer et évoluer vers le cloud et les supply chains

📰 Nature de l’article

Il s’agit d’une interview directe d’un groupe cybercriminel actif, publiée par un blog de cybersécurité indépendant. Le but principal est de documenter l’évolution tactique, organisationnelle et idéologique d’Everest sur six ans, à partir des déclarations non vérifiables des opérateurs eux-mêmes.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1567 — Exfiltration Over Web Service (Exfiltration)
  • T1078 — Valid Accounts (Initial Access)
  • T1566 — Phishing (Initial Access)
  • T1110 — Brute Force (Credential Access)
  • T1595 — Active Scanning (Reconnaissance)
  • T1650 — Acquire Access (Resource Development)
  • T1657 — Financial Theft (Impact)
  • T1491 — Defacement (Impact)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ suspectfile.com — source non référencée (0pts)
  • ✅ 16103 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Everest, Black Basta, Hive (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.suspectfile.com/everest-six-years-of-evolution-from-data-leak-to-double-extortion-the-interview/