Группа вымогателей Everest заявила, что взломала McDonald’s Индия и украла 861 ГБ данных. Запись появилась 20 января 2026 года на даркнет-площадке группировки. Everest утверждает, что у компании есть два дня, чтобы выйти на связь, иначе материалы будут опубликованы. McDonald’s India пока инцидент не подтверждала.
Важно держать в голове базовую вещь: заявления вымогателей почти всегда написаны так, чтобы выглядеть максимально убедительно. Но в этот раз в посте много конкретики, а в качестве доказательств выложены скриншоты внутренних документов.
По публикации видно, что злоумышленники пытаются показать не просто набор файлов, а структурированный доступ к внутренним системам. На скриншотах фигурируют финансовые отчеты за 2023–2026 годы, материалы аудита, таблицы контроля затрат, файлы миграции систем планирования ресурсов, ценовые данные и внутренняя переписка. Отдельные каталоги разбиты по месяцам, что выглядит как выгрузка из бухгалтерского или планового контура.
Есть и более чувствительные вещи. Один из каталогов называется Investor Info, что намекает на документы, которые обычно гуляют на уровне руководства и партнеров. На скриншотах также видна таблица Contact Database, где перечислены инвесторы и бизнес-партнеры, с именами, почтовыми адресами, телефонами и email по США, Великобритании, Сингапуру и Индии.
Кроме этого, Everest утверждает, что в массиве есть данные на уровне отдельных ресторанов: имена менеджеров, корпоративные адреса в домене mcdonaldsindia.com и прямые контактные номера десятков точек продаж. Группа также заявляет, что в составе утечки есть данные клиентов, но подробностей по этому блоку пока нет.
McDonald’s в Индии работает через две структуры: Connaught Plaza Restaurants обслуживает север и восток страны, Hardcastle Restaurants отвечает за запад и юг. Сеть присутствует в стране с 1996 года и обслуживает миллионы клиентов, поэтому любой инцидент вокруг данных быстро становится не только ИТ-проблемой, но и репутационным риском.
Информация
Everest появилась в декабре 2020 года как русскоязычная вымогательская группа, сначала с упором на кражу данных. К началу 2021 года группа добавила полноценное шифрование, используя комбинацию алгоритмов AES и DES. При этом их стиль часто ближе к чистому вымогательству: украсть, показать доказательства, давить публикацией и продажей данных, а не только блокировать доступ к системам.
В январе 2026 года хакерская группа заявляла о краже 900 ГБ у Nissan Motor Corporation. Для Nissan это был четвертый крупный инцидент за четыре года: в январе 2021 утекло 20 ГБ исходников из-за пароля admin/admin на Git-сервере, в декабре 2023 Akira затронула более 100 тысяч записей в Австралии и Новой Зеландии, в декабре 2025 21 тысячу записей клиентов получили через взлом Red Hat CMS. В декабре 2025 Everest также заявляла об атаке на ASUS с похищением около терабайта данных. В октябре 2025 фигурировал Dublin Airport с утечкой 1,5 млн записей пассажиров. Среди других заявленных атак за 2025 год назывались Chrysler, Iberia Airlines, Under Armour, Petrobras, AT&T и Air Miles España, где речь шла о 131 ГБ данных, включая миллионы записей клиентов. В кейсе Collins Aerospace группа в итоге выложила 23 ГБ данных, что сопровождалось сбоями в работе системы регистрации, используемой в европейских аэропортах.
Для McDonald’s история чувствительна еще и потому, что вопросы безопасности данных уже возникали. В июле 2025 обсуждали критическую уязвимость в системе найма McHire, где использовался ИИ-бот Olivia от Paradox.ai. Исследователи Ян Кэрролл и Сэм Карри получили доступ к 64 миллионам анкет соискателей через тестовую учетку с паролем 123456, утекали имена, телефоны и email. Позже сообщалось, что в июне 2025 устройство сотрудника Paradox во Вьетнаме было заражено Nexus Stealer, который украл сотни паролей и мог открывать доступ к системам клиентов Paradox, включая Aramark, Lockheed Martin, Lowe’s и Pepsi.
Неправомерный доступ к компьютерной информации в РФ регулируется статьей 272 УК РФ, с наказаниями до 7 лет лишения свободы в зависимости от обстоятельств и последствий. При этом, по данным Positive Technologies, в первом полугодии 2025 шифровальщики фигурировали в 49% успешных атак, это на 8 процентных пунктов больше, чем годом ранее. Доля успешных атак с утечкой данных выросла с 44 до 56% по сравнению с 2023 годом. ГК Солар отмечала, что в 2024 доля заказных атак с применением вымогателей достигла 44%, а средняя сумма первоначального требования выкупа за 9 месяцев 2023 превышала 37 млн рублей. Роскомнадзор в 2024 фиксировал 135 утечек баз данных с более чем 710 млн записей.
Пока McDonald’s India не подтверждает взлом, это остается заявлением группировки. Но пост Everest содержит достаточно деталей, чтобы отнестись к нему как к потенциально реальному инциденту. В таких историях важнее всего скорость реакции компании и то, какие именно категории данных подтвердятся. Если в массиве действительно есть финансовые документы, контактные базы партнеров и переписка, это почти гарантирует вторичную волну фишинга и мошеннических рассылок уже после публикации, независимо от того, был ли выплачен выкуп.
