Хакерська група Hellcat через свого представника Rey оголосила про успішну компрометацію корпоративної інфраструктури іспанського телекомунікаційного гіганта Telefónica. Кіберзлочинці стверджують, що викрали 106 гігабайт конфіденційної інформації і погрожують її повною публікацією у разі невиконання своїх вимог.
Технічні деталі інциденту кібербезпеки
За словами хакера Rey, атака була здійснена 30 травня 2025 року. Протягом понад 12 годин зловмисники мали несанкціонований доступ до внутрішніх систем компанії, поки адміністратори не виявили вторгнення та не заблокували доступ.
Як докази своїх заяв, Rey опублікував архів розміром 2,6 ГБ, який після розпакування містить близько 5 гігабайт даних і понад 20 000 файлів. Загальний обсяг вкраденої інформації, за твердженням хакера, становить 385 311 файлів розміром 106,3 ГБ.
Характер скомпрометованих корпоративних даних
Експертний аналіз наданих зразків показав, що витік потенційно включає критично важливу корпоративну інформацію різних категорій:
Внутрішні комунікації – службові тікети та електронна кореспонденція співробітників, комерційні документи – замовлення постачальникам та інвойси для бізнес-клієнтів, системні журнали – внутрішні логи інформаційних систем, та персональні дані – записи клієнтів і інформація про співробітників.
Географічний охоплення скомпрометованих даних торкається підрозділів компанії в Іспанії, Німеччині, Угорщині, Чилі, Перу та Аргентині, що свідчить про масштабність потенційного інциденту.
Вектор атаки та системні вразливості
Особливу стурбованість викликає той факт, що це вже другий інцидент за участю групи Hellcat у 2025 році. У січні зловмисники вже атакували Telefónica, скомпрометувавши внутрішній сервер розробки та обробки тікетів на базі платформи Jira.
Rey стверджує, що нова атака також була здійснена через неправильно налаштовану систему Jira, що вказує на системні проблеми в конфігурації безпеки корпоративних застосунків компанії.
Офіційна позиція Telefónica та верифікація інформації
Представники Telefónica категорично заперечують факт нової кібератаки, характеризуючи ситуацію як спробу вимагання з використанням застарілої інформації з попереднього інциденту.
Незалежна перевірка, проведена журналістами Bleeping Computer, частково підтверджує позицію компанії. Найсвіжіші файли в наданих зразках датовані 2021 роком, що ставить під сумнів твердження про недавню атаку.
Ескалація загроз і поширення даних
Незважаючи на заперечення компанією факту нового інциденту, Rey продовжує ескалацію, публікуючи дані через різні файлообмінні сервіси. Спочатку використовувався PixelDrain, але дані були видалені за юридичними вимогами. Згодом зловмисник перейшов на платформу Kotizada, яка позначається браузером Google Chrome як потенційно небезпечна.
Важливо зазначити, що деякі email-адреси з витоку належать діючим співробітникам Telefónica, що підтверджує автентичність принаймні частини скомпрометованої інформації.
Цей інцидент підкреслює критичну важливість регулярного аудиту безпеки корпоративних застосунків, особливо систем управління проектами та обробки заявок. Організаціям слід приділяти особливу увагу правильній конфігурації Jira та аналогічних платформ, оскільки їх компрометація може призвести до масштабних витоків конфіденційної інформації та серйозних репутаційних збитків.
