文章总结： Everest勒索组织入侵麦当劳印度特许经营商，窃走861GB含未审计财报、高层通讯录及供应链流水的核心数据，威胁双重勒索；报告拆解其滥用合法远控、横向移动董事会服务器等战术，警示跨国企业需强化分支机构DLP、清理非必要远程工具并监控异常外发，以防短板被击。 综合评分： 92 文章分类： 勒索软件,数据泄露,应急响应,威胁情报,漏洞分析

快餐巨头麦当劳(印度)遭Everest勒索，861GB敏感数据失窃，核心财务报表与高层通讯录流出

原创

solarsec solarsec

solar应急响应团队

2026年1月20日 17:54 山东

依托Solar 安全运营响应团队对跨境勒索黑产的深度追踪与攻防复盘，致力洞悉攻击战术迭代，协助政企机构抢占防御高地。我们不只提供资讯，更提供“情报驱动决策，技术终结危机”的实战化解决方案。

我们致力于为政企机构构建集“监测预警 – 应急处置 – 溯源取证 – 灾难恢复”于一体的闭环安全防线。

突发危机干预通道若您的核心资产正面临加密锁定或数据勒索风险，请通过文末二维码联系我们。我们提供全天候紧急介入，协助您快速切断攻击链路，全力挽回业务损失。

前言：写在分析之前

在数字化转型的浪潮下，即使是全球知名的快餐连锁巨头，也面临着日益严峻的网络安全挑战。

2026年1月20日，Solar 威胁情报中心监测到，老牌勒索组织 Everest 在其暗网数据泄露站点更新了受害者名单，麦当劳印度（西区与南区） 赫然在列。攻击者宣称已成功入侵其内部网络，并窃取了高达 861GB 的敏感数据。

目前，Everest 尚未公开全部数据，仅发布了部分文件截图作为攻击证明。Solar 应急响应团队基于目前掌握的有限情报与样本截图，从技术与业务影响角度对本次事件进行了初步研判，旨在为行业提供预警参考。

一、 事件复盘与核心泄露数据研判

根据攻击者公布的信息，此次受影响的运营主体主要涉及麦当劳在印度西部和南部的特许经营商。Everest 组织采取了“双重勒索”策略，即在加密系统前窃取高价值数据，并以此威胁公开来逼迫企业支付赎金。

从攻击者展示的文件目录结构和具体表格内容来看，泄露数据并非随机抓取的缓存文件，而是精准命中了一家上市公司的核心财务底账、高层管理通讯录以及供应链交易记录。

Everest 勒索家族在暗网展示的麦当劳(印度)泄露页面，声明窃取数据量为 861GB

Solar 团队对样本截图进行了逐一溯源与分类，研判出以下三大核心风险点：

1.上市公司核心财务报表与税务底账

在泄露样本中，其中有两份详细的财务 Excel 表格。截图内容清晰显示了 “WESTLIFE DEVELOPMENT LIMITED”（麦当劳在印度西部和南部的特许经营上市公司）的字样。

• 利润表细则：样本中暴露了 EBITDA（税息折旧及摊销前利润）、Finance Costs（财务成本）以及 Profit before Tax（税前利润）等关键财务指标的精确数值。
• 资产负债表：详细列出了 Non-Current Investments（非流动投资）、Inventories（库存）以及 Cash and Cash Equivalents（现金及现金等价物）等敏感数据。

泄露的内部资产负债表与利润表，包含精确的未公开财务数据(已模糊处理)

深度研判：此类文件属于上市公司的核心机密。未经审计或未公开的财务报表一旦流出，不仅会直接影响二级市场股价波动，还可能被竞争对手用于推算其成本结构与盈利模型。此外，详细的税务数据暴露可能引发监管机构对合规性的二次审查。

2.关键岗位人员隐私与高层通讯录

不同于以往泄露的普通会员数据，本次样本中出现了一份名为 Contact Database 和一份门店管理名单的表格，其数据颗粒度极高。

• 门店运营管理层暴露：表格详细列出了印度各地（如班加罗尔、海得拉巴）门店的区域经理与运营经理。更严重的是，表格中直接包含了这些关键人员的私人手机号与工作邮箱。
• 高净值联系人泄露：另一份联系人数据库则包含了大量位于孟买、纽约、伦敦等地的外部合作伙伴与投资人信息，涉及 @williamblair.com, @nb.com 等知名投资机构的邮箱地址。

泄露的区域经理（DM）详细联系方式列表与外部高净值联系人数据库(已模糊处理)

深度研判：这些数据是黑客发动商务邮件诈骗与鱼叉式钓鱼攻击的最佳素材。攻击者可以伪装成区域经理或投资人，向供应链上下游发送带有恶意载荷的邮件，进而突破更深层的网络防线。

3.内部战略文档与供应链交易日志

攻击者展示的文件夹结构截图揭示了其在内网的横向移动路径。

• 董事会级别文档：文件夹目录中出现了 Board Newsletter（董事会通讯）、Investor Info（投资者信息）、Financial Model（财务模型）等字样，表明攻击者已触及企业决策层的文档服务器。
• 供应链交易流水：样本中包含详细的供应商交易日志，记录了 TDS on Contractor（承包商税款扣除）与具体的支付金额，这直接暴露了企业的供应链成本与合作细节。

被窃取的董事会级别文档目录结构及供应链交易流水日志(已模糊处理)

深度研判：文件目录的暴露证明攻击者已经获得了文件服务器的完整浏览权限。值得注意的是，部分备份文件夹显示了近期的时间戳，说明被窃取的数据具有很高的时效性，并非陈旧归档。

二、 攻击者画像：Everest 勒索组织

此次攻击的 Everest 并非新兴组织，而是一个自 2020 年起便活跃在网络犯罪生态中的老牌勒索组织。

• 组织定位：Everest 不仅仅是勒索软件运营商，还扮演着 初始访问掮客（IAB） 的角色。他们擅长渗透进入企业内网后，不仅自己实施勒索，有时还会将访问权限出售给其他黑客团伙。

• 战术特征（TTPs）：

• 合法工具滥用：Everest 极其擅长“寄生攻击”，他们倾向于使用 AnyDesk、Splashtop 等合法的远程管理软件作为后门，以此规避杀毒软件的检测。

• 目标选择：该组织偏好攻击拥有庞大供应链和高现金流的实体，如零售、航空航天及制造业。

Everest 勒索信

截至2025年9月受害人数已经达到262名

三、 Everest 家族历史攻击事件回顾

值得注意的是，麦当劳（印度）并非 Everest 近期唯一的猎物。该组织近年来频频针对全球知名企业发起高烈度攻击，且泄露数据量均在 TB 级别，显示出其极强的渗透能力。

以下是 Solar 应急响应团队整理的 Everest 近期典型攻击案例：

1.汽车制造业：日产汽车（Nissan）

• 时间：2026年1月
• 事件概要：Everest 入侵日产汽车网络，窃取约 900GB 数据。泄露内容直击商业命门，包含北美经销商全量名录、无限（Infiniti）品牌车主索赔记录及内部审计报告。
• 详情阅读：继本田供应商后，日产汽车遭勒索攻击：大量经销商与车主索赔数据被公开

2.运动零售业：安德玛（Under Armour）

• 时间：2025年11月
• 事件概要： 全球知名运动品牌 Under Armour 遭 Everest 勒索，攻击者声称掌握 343GB 敏感数据，涉及数百万用户的个人隐私信息及内部运营文档。
• 详情阅读：343GB核心数据泄露！运动巨头安德玛遭Everest勒索，百万用户隐私告急

3.硬件制造业：华硕电脑（ASUS）

• 时间：2025年10月
• 事件概要：Everest 宣称攻破华硕网络，窃取超过 1TB 数据。最为致命的是，攻击者发布了 24 小时最后通牒，并威胁公开专有相机源代码及员工隐私数据。
• 详情阅读：华硕遭Everest勒索攻击，1TB核心数据及相机源码泄露，黑客发布24小时最后通牒

四、 总结与行业启示

从华硕的源码、日产的经销商名单，到如今麦当劳印度的财务审计底稿，Everest 的攻击路径表明：没有任何一家巨头是绝对安全的孤岛。

行业启示：

• 供应链与分支机构是软肋：此次受损的是麦当劳印度特许经营商。大型跨国企业的安全水位往往取决于其短板，攻击者倾向于从安全投入相对薄弱的分支机构或供应商切入，进而威胁整体品牌。
• 数据防泄漏（DLP）的重要性：在双重勒索模式下，防止数据“流出”与防止数据“被加密”同等重要。企业应加强对大流量异常传输的监控，尤其是针对网盘、FTP 及非常规端口的数据外发行为。
• 排查远程工具：鉴于 Everest 对 AnyDesk 等工具的滥用，企业 IT 部门应定期对内网进行资产测绘，及时卸载非业务必需的远程控制软件，收敛攻击面。

Solar 应急响应团队将持续监控 Everest 组织的动向，并为受影响企业提供必要的技术支持。

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“Solar应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar应急响应团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar应急响应团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 Solar应急响应团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec solarsec《快餐巨头麦当劳(印度)遭Everest勒索，861GB敏感数据失窃，核心财务报表与高层通讯录流出》