Skip to content
CBCyber Breaches
Recherche
Fuite de donnéesContenu

Compromission Hellcat de Telefónica via voleur d'informations et Jira (Espagne, 2025)

Un logiciel malveillant voleur d'informations sur les postes de plus de 15 employés de Telefónica a fourni au groupe de rançongiciel Hellcat des identifiants pour accéder au système interne de tickets Jira de l'entreprise. L'ingénierie sociale a permis d'élever l'accès jusqu'au SSH. Le groupe n'a pas extorqué — il a publié 2,3 Go, dont 24 000 courriels d'employés, 470 000 tickets Jira internes et 5 000 documents internes.

Victime
Telefónica
données
500.0K
SecteurTélécoms
PaysEspagne
GroupeHellcat

En janvier 2025, le géant espagnol des télécommunications Telefónica a révélé que le groupe de rançongiciel Hellcat avait compromis son système interne de tickets Jira à l'aide d'identifiants initialement capturés par un logiciel malveillant voleur d'informations s'exécutant sur les postes de plus de 15 employés. Fait inhabituel pour un incident de 2025, Hellcat n'a pas tenté d'extorsion — le groupe a simplement publié 2,3 Go de données dérobées sur un forum de piratage.

Ce qui s'est passé

Un logiciel malveillant voleur d'informations — la lignée Lumma/Redline/Vidar devenue l'outillage dominant de collecte d'identifiants dans la clandestinité — opérait discrètement sur plus de 15 postes d'employés de Telefónica. Les identifiants compromis incluaient les connexions au système interne de tickets Jira de Telefónica, le type de système qui contient des tickets opérationnels, des échanges de support client et des données internes non caviardées.

Les 8 et 9 janvier 2025, les acteurs de Hellcat se sont authentifiés sur le Jira interne avec les identifiants récoltés. Ils ont identifié deux administrateurs Jira et, dans une escalade d'ingénierie sociale digne d'un manuel, ont amené les administrateurs à révéler le serveur correct pour l'accès SSH. De là, ils ont cassé par force brute des identifiants SSH et ont obtenu un shell.

Le 10 janvier, Hellcat a publié le butin sur un forum de piratage — pas sur un site de fuite de rançongiciel et sans tentative d'extorsion préalable. Le jeu de données :

  • Environ 24 000 noms et adresses e-mail d'employés de Telefónica.
  • Environ 470 000 tickets Jira internes.
  • Environ 5 000 documents internes dans des formats incluant CSV, PPTX, XLSX, DOCX, PDF et MSG.
  • Un ensemble supplémentaire d'informations de tickets liées aux clients représentant des centaines de milliers de lignes.

La tactique de « publication-humiliation » — publier plutôt qu'extorquer — était une signature délibérée des premières opérations de Hellcat et a depuis été reprise par d'autres groupes émergents.

Impact

  • Environ 24 000 courriels d'employés exposés.
  • Environ 470 000 tickets Jira internes exposés.
  • Environ 5 000 documents internes exposés.
  • Environ 236 493 lignes d'informations clients apparues dans le dépôt.
  • Aucune tentative d'extorsion — les données ont simplement été publiées.

Pourquoi cela compte

Telefónica est le cas européen canonique de compromission voleur d'informations vers système interne de tickets. La chaîne — voleur d'informations sur des postes personnels → identifiants Jira d'entreprise → ingénierie sociale des administrateurs → escalade SSH → divulgation publique — est devenue un modèle pour la manière dont les attaquants monétisent des identifiants récoltés lorsque les cibles sont trop grandes pour être aisément extorquées. Le choix de publier sans rançon a aussi annoncé une tactique de « publication-humiliation » désormais observée chez plusieurs nouvelles marques de rançongiciel.

Chronologie

  1. Un logiciel malveillant voleur d'informations (famille Lumma, Redline, Vidar) infecte les postes de plus de 15 employés de Telefónica, capturant des identifiants notamment pour le système interne de tickets Jira.

  2. Les acteurs de Hellcat s'authentifient sur le Jira interne de Telefónica avec les identifiants récoltés et commencent l'énumération.

  3. Les attaquants identifient deux administrateurs Jira, leur soutirent par ingénierie sociale le serveur correct pour l'accès SSH, puis cassent par force brute des identifiants SSH pour escalader.

  4. Hellcat publie 2,3 Go de données dérobées de Telefónica sur un forum de piratage sans tentative d'extorsion : environ 24 000 noms et courriels d'employés, environ 470 000 tickets Jira internes, environ 5 000 documents internes.

  5. Telefónica confirme la compromission, l'attribue au groupe Hellcat et confirme le système de tickets Jira comme l'actif interne compromis.

Sources

  1. hackread.comhttps://hackread.com/hackers-breach-telefonica-network-leak-data-online/
  2. dailysecurityreview.comhttps://dailysecurityreview.com/security-spotlight/telefonica-breach-exposes-20000-employees-data-and-jira-details-hellcat-ransomwares-infostealer-malware-at-play/
  3. securityweek.comhttps://www.securityweek.com/infostealer-infections-lead-to-telefonica-internal-ticketing-system-breach/
  4. darkreading.comhttps://www.darkreading.com/cyberattacks-data-breaches/telefonica-breach-exposes-jira-tickets-customer-data
  5. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/hellcat-ransomware-humiliation/

Incidents liés