Кибerpреступная группировка Hellcat через своего представителя под псевдонимом Rey заявила о компрометации корпоративной инфраструктуры испанского телекоммуникационного гиганта Telefónica. Злоумышленники утверждают, что похитили 106 гигабайт конфиденциальной информации и угрожают её полной публикацией в случае невыполнения требований.
Детали предполагаемого инцидента
Согласно заявлениям хакера Rey, атака была проведена 30 мая 2025 года. Злоумышленник сообщил, что в течение более 12 часов осуществлял несанкционированный доступ к внутренним системам компании, прежде чем администраторы обнаружили вторжение и заблокировали доступ.
В качестве доказательства своих утверждений Rey опубликовал архив объёмом 2,6 ГБ, который после распаковки содержит около 5 гигабайт данных и свыше 20 000 файлов. По словам хакера, общий объём похищенной информации составляет 385 311 файлов размером 106,3 ГБ.
Характер скомпрометированных данных
Анализ предоставленных образцов показал, что утечка потенциально включает критически важную корпоративную информацию:
• Внутренние коммуникации — служебные тикеты и электронная переписка сотрудников
• Коммерческие документы — заказы поставщикам и инвойсы для бизнес-клиентов
• Системные журналы — внутренние логи информационных систем
• Персональные данные — записи клиентов и информация о сотрудниках
Географический охват скомпрометированных данных затрагивает подразделения компании в Испании, Германии, Венгрии, Чили, Перу и Аргентине, что указывает на масштабность потенциального инцидента.
Вектор атаки и уязвимости
Особую обеспокоенность вызывает тот факт, что это уже второй инцидент с участием группировки Hellcat в 2025 году. В январе злоумышленники уже атаковали Telefónica, скомпрометировав внутренний сервер разработки и обработки тикетов на базе платформы Jira.
Rey утверждает, что новая атака также была осуществлена через неправильно настроенную систему Jira, что указывает на системные проблемы в конфигурации безопасности корпоративных приложений компании.
Позиция Telefónica и верификация данных
Представители Telefónica категорически отрицают факт новой кибератаки, характеризуя ситуацию как попытку вымогательства с использованием устаревшей информации из предыдущего инцидента.
Независимая проверка, проведённая журналистами Bleeping Computer, частично подтверждает позицию компании. Самые свежие файлы в предоставленных образцах датированы 2021 годом, что ставит под сомнение утверждения о недавней атаке.
Эскалация угроз и распространение данных
Несмотря на отрицание компанией факта нового инцидента, Rey продолжает эскалацию, публикуя данные через различные файлообменные сервисы. Первоначально использовался PixelDrain, но данные были удалены по юридическим требованиям. Впоследствии злоумышленник перешёл на платформу Kotizada, которая помечается браузером Google Chrome как потенциально опасная.
Важно отметить, что некоторые email-адреса из утечки принадлежат действующим сотрудникам Telefónica, что подтверждает подлинность хотя бы части скомпрометированной информации.
Данный инцидент подчёркивает критическую важность регулярного аудита безопасности корпоративных приложений, особенно систем управления проектами и обработки заявок. Организациям следует уделять особое внимание правильной конфигурации Jira и аналогичных платформ, поскольку их компрометация может привести к масштабным утечкам конфиденциальной информации.
