ランサムウェアウェアグループ Everest(エベレスト)は、2020年ごろから活動が確認されている脅威アクターで、データ窃取と恐喝を軸にしつつ、状況に応じて暗号化も組み合わせるグループです。
概要
ランサムウェアウェアグループ Everest(エベレスト)は、2020年後半頃から活動が確認されているランサムウェアグループです。これまでの攻撃痕跡やフォーラムでの使用言語から、ロシア語圏のサイバー犯罪エコシステムに属している可能性が高いと分析されています
国米国保健福祉省(HHS)配下のHC3(Health Sector Cybersecurity Coordination Center)の脅威アクタープロファイルでは、Everestがデータ恐喝とランサムウェアの両面で活動し、さらにInitial Access Broker(IAB)としてアクセス権を売買する動きもある点が明記されています。
医療分野への関心が強いこと、そして米国の施設にも被害が及んだことが記載されています。
一方で、近年のEverestは暗号化にこだわらず、盗んだデータの公開をテコに金銭を要求するコーポレートエクストーション(データ恐喝)へ重心を移しているという観測も複数あります。例えば、侵害はあったものの暗号化は行われなかったと企業側が説明した事例が報道されており、必ずしも常にランサムウェア暗号化がセットで起きるとは限りません。
また、Everestを語るうえで無視できないのが、侵入経路の調達やアクセス権の仲介です。
HC3は、同グループが幅広いアクセス形態(RDP、VNC、各種リモートアクセスソフトなど)を求める募集文言に触れ、アクセスを購入する可能性にも言及しています。
さらに、企業内部者に金銭を提示してリモートアクセス提供を持ちかける動きがオープンソースで報告された点や、MandiantがEverest(または関連アクター)が組織ネットワークへのアクセス獲得を試みる様子を観測していた点も記載されています。
ここは情シス視点でいうと、ID・認証とリモートアクセス、そして委託先や子会社を含む運用の穴が狙われます。
関連:ランサムウェア グループ Qilin(キリン、キーリン)とは
攻撃手法
初期侵入 リモートアクセス経路の確保とアクセス売買
HC3のレポートでは、Everestは初期侵入において各種リモートアクセス手段を使い、場合によっては他の犯罪者からアクセスを購入するという、いわゆるIAB的な動きが目立つとされています。
米国のセキュリティベンダーHalcyonの解説でも、同グループがアクセス仲介を含む複線的な収益モデルを持つこと、リモートアクセスツールを攻撃の中で多用することが整理されています。
実務上の注意点は、VPNやRDPを単に閉じるかどうかではなく、誰がどの経路で入れる設計になっているか、そして認証情報が漏れたときに何が起きるかです。公開サーバ上のファイル共有、SaaSの外部共有、委託先が使う保守用アカウントなど、攻撃者にとって入り口は複数あります。
侵入後 横展開と探索、一般ツールの組み合わせ
Everestは、目新しい専用マルウェアだけで勝負するというより、環境にあるものと市販・一般ツールの組み合わせで成果を出すタイプとして描かれています。HC3は、一般に流通するツール群を活用すること、リモートアクセスや認証情報を起点に横展開することを整理しています。
医療向けの整理記事では、Cobalt Strike、ネットワークスキャナ類、WinRAR、Splashtopなどが観測されている旨が触れられていますので
Living Off The Land(LotL:環境寄生型)のサイバー攻撃を実施している事が分かります。
データ窃取と恐喝 暗号化しないケースも現実的
Malwarebytesの報告では、Everestが被害企業に対し期限内に応答しない場合にデータを公開する、といったリークサイト運用を前提にした恐喝が指摘されています。
また、暗号化と二重恐喝を前提に整理する資料もありますが、Halcyonの解説では、データのみ恐喝へシフトする傾向も示されています。
暗号化を伴う場合の特徴 拡張子と身代金ノート
Halcyonは技術的特徴として、AESとDESの併用、暗号化ファイルに.EVERESTまたは.everest拡張子が付くこと、身代金ノートとしてEVEREST LOCKER .txtが使われることなどを整理しています。
被害企業
被害については、確定情報と、リークサイト掲載や報道ベースの主張が混在します。
なお、セキュリティ対策LabではEverestが複数の日本企業への犯行声明を発表している事を確認しています。
仮設資材販売の信和株式会社へのサイバー攻撃
仮設資材販売の信和株式会社(東証スタンダード:3447)は2026年2月4日、2月2日にサイバー攻撃を受けた可能性のある事象を確認したと公表しました。現在は外部の専門機関と連携し、影響の有無や原因を調査中で、新たに知らせるべき事項が判明した場合は同社Webサイト等で速やかに告知するとしています。
ランサムウェア グループとして知られるEverest がダークウェブのリークサイト上に、同社への犯行声明を発表し
内部文書や個人文書、顧客情報を含むとする42GBのデータがある旨の主張と、ファイル公開を示唆するカウントダウン表示が確認できます
粉体機器メーカーのホソカワミクロンへのサイバー攻撃
粉体機器メーカーのホソカワミクロン株式会社(東証プライム:6277)は、2026年2月2日(月)午前10時ごろ、サイバー攻撃を受けた可能性のある事象を確認したと公表しました。現在は外部専門機関の協力を得て、原因と影響範囲の調査を進めており、追加で知らせるべき事項が判明次第、同社Webサイトで案内するとしています。
ランサムウェアグループ Everestは同社へのサイバー攻撃を主張しています。
米国・政府系を含む高プロファイル被害として言及される例
HC3のプロファイルでは、高プロファイルの被害例としてNASAやブラジル政府が挙げられています。
これはEverestの活動範囲が医療に限られず、多業種・多地域に及ぶという文脈で重要です。
米国医療機関 具体名が挙がるケース
医療分野については、Gramercy Surgery Centerへの攻撃を前提にした注意喚起が出ています。
同じ文脈で、Horizon View Medical Center(ラスベガス)、2K Dental(オハイオ)、Prime Imaging(テネシー)、Stages Pediatric Care(フロリダ)といった医療組織名も、Everestが関与したと主張した対象として列挙されています。
医療は支払い能力があるから狙われる、という単純な話だけではなく、業務停止が患者影響に直結し、交渉期限を短く設定して圧力をかけやすいという事情が絡みます。
小売・消費者データ アンダーアーマーの事例
2026年1月には、アンダーアーマーの顧客データがハッカーフォーラムに投稿された件をめぐり、同社が侵害主張を調査していると報じられました。

また、Have I Been Pwnedは、当該事案に関連して7200万超のメールアドレスを含むデータが公開されたと整理し、漏えいデータ種別も記載しています。
情報管理・ファイル共有 Iron Mountainの事例
EverestがIron Mountainをリークサイトに掲載した一方、同社は単一の共有フォルダが漏えいしただけで、暗号化やマルウェア展開は確認していないと説明しています。
情シスが押さえるべき防御の勘所
Everestは、ゼロデイ一発で突破してくるというより、認証・リモートアクセス・共有基盤・委託関係といった、運用の現実にある穴を組み合わせてきます。HC3が示すように、アクセス獲得の手段は多様で、IAB的にアクセスが流通する前提で対策を組む必要があります。
実務で優先度が高いのは次の3点です。
1つ目は、リモートアクセスの棚卸しです。
VPN、RDP、VNC、リモート支援ツール、ファイル共有の外部公開など、何がどこで許可されているかを一覧化し、MFAと条件付きアクセス設定まで行います。
2つ目は、データ持ち出しの前兆検知です。
ファイルサーバ上での大量圧縮、深夜帯の大量読み取り、管理者権限での探索、外部転送先の異常などを、EDRだけに頼らずプロキシやCASB、ストレージ監査ログと合わせて見ます。
3つ目は、リークを前提にした危機対応です。暗号化が起きなかったとしても、情報が外に出た時点で被害は成立します。
法務・広報・CSとの連携手順、当局・取引先説明、二次被害注意喚起のテンプレートを平時に整備しておくことが、最終的な損失を左右します。
出典
https://www.hipaajournal.com/everest-ransomware-warning-healthcare/
https://www.halcyon.ai/threat-group/everest
Under Armour ransomware breach: data of 72 million customers appears on the dark web








