Prayukth K V
22 de enero de 2026
El 20 de enero de 2026, el Grupo Everest de Ransomware publicó una afirmación de fuga de datos masiva de 861 GB en su portal de la web oscura. Afirman poseer un tesoro de inteligencia corporativa y de clientes sobre McDonald’s India. El grupo también publicó pruebas de violación en forma de capturas de pantalla en:
Auditorías internas y pistas de cumplimiento junto con informes financieros con desgloses mes a mes.
Una "Base de Datos de Contactos" que contiene PII (Información de Identificación Personal) de supuestos inversionistas internacionales y socios.
Granularidad a nivel de tienda, incluyendo detalles de contacto de gerentes de docenas de locales en India.
Si bien no podemos verificar la autenticidad de los datos, según los anteriores TTPs (Tácticas, Técnicas y Procedimientos) desplegados por el grupo, es posible que se haya exfiltrado alguna forma de datos.
En esta publicación, profundizamos en el incidente y, lo más importante, hacemos un doble clic en la importancia de los TTPs y motivaciones del grupo Everest.
Antes de avanzar, en caso de que no hayas leído nuestra publicación anterior sobre las implicaciones críticas del Acta de Ciberseguridad de la UE 2026 para los operadores y empresas de infraestructura OT, te recomendamos que lo hagas. Puedes acceder a esta publicación detallada aquí.
La afirmación: 861 GB de inteligencia robada
Everest es un actor de amenaza ruso evolucionado con casi medio decenio de experiencia en la exfiltración de datos y extorsión. Se sabe que el grupo gasta enormes cantidades de dinero para comprar credenciales a IABs o Corredores de Acceso Inicial además de comprar herramientas disponibles públicamente. Para complementar este esfuerzo, el grupo también está ejecutando un proyecto de reclutamiento activo de infiltrados centrado en empleados clave dentro de las organizaciones objetivo. Si bien el grupo comenzó su carrera centrándose en entidades estadounidenses y canadienses, amplió su alcance a otras geografías a principios de 2022.
A diferencia de otros actores de amenaza, el grupo Everest es más proactivo al contactar con posibles infiltrados. Se sabe que el grupo recluta infiltrados a través de LinkedIn y 'X'. Es posible que el grupo tenga un equipo que identifica y monitorea las actividades en redes sociales de los infiltrados objetivo. Anteriormente, el grupo solía publicar anuncios genéricos pidiendo a los infiltrados que se asomaran y vendieran credenciales pertenecientes a empresas en ciertas industrias y sectores.
Comprendiendo el TTP
Se sabe que Everest persigue a víctimas que manejan grandes cantidades de datos sensibles. Esto le da la oportunidad de aprovechar cualquier fatiga dentro del sistema, ya sea a nivel de sistema o a nivel de analista de seguridad. Una vez que se reciben las credenciales, el grupo utiliza las cuentas comprometidas junto con un protocolo RDP para moverse dentro de las redes comprometidas. Luego, se cosechan credenciales adicionales utilizando herramientas y procesos especializados. El actor también utiliza herramientas de descubrimiento de redes para detectar y localizar nuevos hosts mientras elimina herramientas y archivos de reconocimiento para borrar signos de compromiso.
Se copian todos los tesoros de datos valiosos y se mantienen copias localmente. El grupo utiliza WinRAR para luego archivar y exfiltrar los datos.
Cómo probablemente se desarrolló la violación de McDonald’s India
Basado en los TTP del Grupo Everest, como se detalla anteriormente, y la naturaleza de los archivos filtrados, podemos reconstruir una ruta de ataque probable.
Una credencial comprometida perteneciente a un gerente senior, un tercero o alguien con mucho acceso dentro de la entidad fue probablemente el punto de entrada. Un IAB también podría haber contribuido. La presencia de datos de tiendas apunta a una fuente comprometida que estaba manejando datos granulares. Los datos pertenecientes a inversionistas pueden haber sido comprometidos durante una violación secundaria que el actor podría haber ejecutado después de moverse lateralmente a través de redes comprometidas y acceder a datos utilizando RDP. La falta de segmentación virtual probablemente permitió al actor acceder a sistemas de alto nivel más allá del punto inicial de compromiso (se sabe que los actores de amenaza se mueven hacia datos más importantes en lugar de hacia abajo cuando se trata de cosechar datos). Pero también es posible que se haya utilizado ProcDump para capturar el proceso LSASS. Esto permitió al atacante pivotar desde una estación de trabajo de tienda de bajo nivel a un servidor financiero o incluso ERP de alto nivel.
El movimiento lateral podría haber sido apoyado por el uso de balizas de Cobalt Strike para el comando y control (C2) y se movió lateralmente utilizando cuentas legítimas comprometidas a través de RDP. Importar herramientas para el movimiento lateral o ejecutar más violaciones dentro de la red está lleno de riesgos, incluida la detección y la seguridad, incluso podría terminar bloqueando las cuentas comprometidas. Por lo tanto, actores como Everest utilizan herramientas ya presentes dentro del entorno objetivo para expandir el radio de la violación sin detección.
¿Qué más podemos deducir?
El volumen de datos exfiltrados de casi un Terabyte sugiere que los atacantes tuvieron un tiempo de permanencia significativo. Esto podría variar desde semanas o incluso un par de meses para mapear la red y extraer datos sin activar alertas basadas en volumen. Everest mantuvo un perfil bajo en el período intermedio y posiblemente llevó a cabo sus actividades dentro de ventanas de actividad que atrajeron menos atención de los equipos de seguridad o propietarios de las cuentas comprometidas (posiblemente a la hora del almuerzo o durante las reuniones del equipo).
Los datos robados fueron compilados en un archivo WinRAR y luego se exfiltraron utilizando herramientas que se utilizan para soporte de TI legítimo y que a menudo pasan por debajo del radar de los EDR estándar debido a excepciones operativas otorgadas.
Debilidades de seguridad posibles
El éxito de esta violación destaca tres posibles fallos estructurales:
Debilidad | Diagnóstico |
Higiene de credenciales | Ausencia probable de MFA resistente a phishing en portales de cara externa (RDP/VPN). Si las credenciales se renuevan dentro de ventanas de tiempo cortas, el riesgo de una violación debido a un infiltrado deshonesto o incluso una violación accidental se reduce. |
Planitud de red | La capacidad de moverse desde datos a nivel de "Tienda" hasta bases de datos de "Inversionistas/Socios" sugiere una falta de microsegmentación adecuada entre franquicias regionales y la sede corporativa. Este tipo de movimiento y recolección de datos apunta a un largo tiempo de permanencia, falta de barreras de seguridad y posible falta de medidas para detectar y contener actividades anómalas de la red. |
Grietas en la monitorización | Fallo en detectar una preparación anormal de los datos (861 GB siendo comprimidos y movidos) indica una falta de Prevención de Pérdida de Datos (DLP) o análisis de comportamiento. |
Auditorías y problemas de control | Las auditorías y evaluaciones probablemente no tomaron en cuenta escenarios posibles que surjan de una cuenta comprometida. |
El valor de esta violación para Everest
Esto es más que una simple jugada de rescate. Debido a que Everest también actúa como un Corredor de Acceso Inicial (IAB), esta violación crea una "Doble Amenaza" para la víctima:
Extorsión directa: Pagar para detener la fuga de datos.
Reventa del acceso: Incluso si se paga el rescate, Everest ya puede haber vendido la guía de "cómo" de la violación a otros actores patrocinados por el estado o criminales.
Los datos aún pueden ser vendidos por el Grupo de Ransomware Everest
Lecciones clave para empresas globales
Este incidente es un fuerte recordatorio de que el acceso es la nueva moneda para negociar confianza. Los grupos de ransomware están evolucionando a ser "Consultores de manejo del ciberdelito", y la información interna es su producto más valioso. Una vez que se pierde la información, puede llevar a muchas complicaciones, por lo que es mejor implementar barreras de acceso y movimiento de datos para dificultar que los actores se muevan y localicen datos de interés.
También hay lecciones para los operadores de OT. Las redes planas sin monitorización adecuada y una evaluación de riesgos adecuada basada en IEC 62443 pueden llevar a una gran cantidad de desafíos de seguridad y cumplimiento más adelante.
Esta violación es un espaldarazo para el Grupo de Ransomware Everest y una validación de sus métodos y modelos de violación. Un actor de amenaza seguro de sí mismo podría volverse fácilmente más atrevido y expandir su base de objetivos, como hemos visto en el pasado. Everest pasó de atacar a EE. UU. después de violar una lista de víctimas muy importantes.
Las empresas deben ir más allá de la defensa perimetral simple. Implementar Acceso de Confianza Cero (ZTA) donde cada movimiento lateral requiere una reautenticación (volver a ganar confianza) ya no puede considerarse opcional.
¿Necesitas ayuda con tus requisitos de cumplimiento normativo? Habla con nuestro experto.
Más sobre nuestros servicios de cumplimiento NIS2.
Aprende un poco más sobre los servicios de respuesta a incidentes de Shieldworkz
Prueba nuestra plataforma de seguridad OT aquí.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
