🧠 ¿Qué es el grupo de ransomware Everest y cuáles son sus ataques más notorios?

Por: Fecha de publicación:

 

Everest es un grupo cibercriminal especializado en ransomware y exfiltración de datos que opera desde finales de 2020 y ha ganado notoriedad por atacar organizaciones grandes y medianas alrededor del mundo.

A diferencia de los atacantes que solo cifran archivos, Everest combina el robo de datos con tácticas de doble extorsión: primero sustrae información sensible, y luego amenaza con publicarla o venderla si no se paga el rescate.

Según herramientas de monitoreo de dark web, ha listado más de 300 víctimas desde 2023, lo que lo convierte en uno de los grupos de ransomware más activos del momento. 


¿Cómo opera Everest?

Everest utiliza una mezcla de técnicas de ciberataque, incluyendo:

  • Acceso inicial a través de credenciales robadas o vulnerabilidades expuestas.

  • Movimiento lateral dentro de redes empresariales para recopilar más datos.

  • Compresión de datos robados para su extracción fuera de la red afectada.

  • Publicación en su sitio de filtraciones en la dark web como forma de presión.

Además, con los años el grupo ha evolucionado hasta convertirse en un “Initial Access Broker”, es decir, también vende accesos a redes comprometidas a otros ciberdelincuentes.

Cronología Completa de Everest (2020–2026)

2020

  • Diciembre 2020

    • Se identifica por primera vez al grupo de ransomware Everest, operando bajo la familia EverBe y especializado en robo de datos y extorsión. 

2021

  • Septiembre 2021
    • La primera víctima documentada registrada en rastreadores de ransomware.

  • Noviembre 2021

    • Everest anuncia en foros de la dark web que pone a la venta accesos a sistemas del Gobierno de Argentina por aproximadamente US$ 200 000, con credenciales de administrador y acceso a redes oficiales.

2022

  • Octubre 2022
    • Everest gana notoriedad mediática tras afirmar haber atacado a AT&T, diciendo que obtuvo acceso total a la red corporativa de la gigante estadounidense de telecomunicaciones.

2023

  • Everest continúa expandiendo su lista de víctimas. Hasta finales de 2023 se estiman cientos de organizaciones comprometidas según registros de sitios de filtraciones.

2024

  • Agosto 2024
    • Se reporta públicamente (aunque con escepticismo de la comunidad) que Everest afirma haber atacado a Mailchimp y robado ~767 MB de datos de usuarios y documentos internos. 
  • Varios ataques no confirmados pero reportados en trackers
    • Estos incluyen reclamos de ataques contra:
      • Gramercy Surgery Center (centro médico)
      • Horizon View Medical Center (centro médico)
      • NIDEC Corporation (empresa industrial)
      • Spine by Villamil MD (clínica)
      • Medical Technology Industries Inc. (empresa médica)
      • Arctrade (empresa)
      • Aspen Healthcare (centro de salud)
      • CO-VER Power Technology SpA (tecnología)
(Estos ataques aparecieron en trackers de reclamos de ransomware pero muchos no fueron confirmados oficialmente por las empresas afectadas.)

2025

  • Abril 2025
    • El sitio de filtraciones de Everest en la dark web es hackeado por un tercero, mostrando un mensaje crítico contra sus actividades. Esto obligó al grupo a cerrar o reconstruir su plataforma de extorsión.
  • Enero 2025
    • Everest afirma haber comprometido a la empresa australiana Evidn, exfiltrando ~50 GB de datos.
  • Mid-2025 (varios meses): 
    • Collins Aerospace – afirma haber robado ~50 GB y ligado el ataque a disrupciones en aeropuertos europeos.
    • Clarins (marca de cosméticos) – creó reclamos sobre la exposición de datos de más de 600 000 clientes.
    • Svenska kraftnät (operador de red eléctrica de Suecia) – se atribuye ~280 GB de datos internos.
    • Under Armour – robo reclamado de ~343 GB de datos con información sensible de clientes y empleados.
    • Petrobras (energía) – reclamo de más de ~176 GB de datos sensibles, particularmente navegación sísmica.
    • BMW y otras marcas de lujo: Reclamos de múltiples filtraciones asociadas a ingeniería interna y documentación técnica. 
Además, herramientas de inteligencia contabilizan cientos de víctimas desde 2023 hasta 2025, alcanzando más de 300 organizaciones en total listadas.

2026

Enero 2026 – McDonald’s India


Muchos de los reclamos del grupo Everest están basados en afirmaciones publicadas en su sitio de filtraciones de la dark web, y no todas han sido confirmadas oficialmente por las empresas afectadas.

Everest es hoy uno de los actores de amenazas más activos del panorama del ransomware, moviéndose entre el robo de datos, extorsión y venta de accesos a sistemas comprometidos. Su historial reciente demuestra una tendencia preocupante: no solo cifran datos, sino que también extraen y exponen información crítica, lo que plantea un grave riesgo para empresas y usuarios en todo el mundo.

Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

Filtración masiva de datos: 48 M de cuentas de Gmail y 6.5 M de Instagram expuestas en una base de datos insegura

Por: Fecha de publicación:
Imagen
  Se ha descubierto una base de datos pública sin protección ni cifrado que contenía aproximadamente 149 millones de credenciales de inicio de sesión de cuentas de servicios populares como Gmail, Instagram, Facebook, Netflix y otros, lo que representa una de las mayores filtraciones de credenciales recopiladas por infostealer en los últimos años. ( gbhackers.com ) Esta exposición fue identificada explícitamente en muestras que revelaron 48 millones de cuentas de Gmail y 6.5 millones de cuentas de Instagram dentro del conjunto de datos, junto con millones de credenciales de otros servicios ampliamente utilizados. ( gbhackers.com )  ¿Qué información estaba expuesta? La base de datos, de unos 96 GB , no tenía ninguna protección de contraseña ni cifrado, por lo que podía accederse directamente desde un navegador o cliente sin autenticar. Entre los 149 millones de registros expuestos se encontraron: Aproximadamente 48 millones de cuentas de Gmail Cerca de 17 millones de cuentas...
Leer más