Добавить в корзинуПозвонить
Найти в Дзене

Huntress оправдывается после контакта сотрудницы с оператором вымогателя

30 июня 2026 года Huntress оказалась в центре истории, которая для рынка кибербезопасности звучит особенно неприятно: сотрудница компании переслала оператору вымогателя сообщение от правоохранителей о том, что им интересуются. CEO Huntress Кайл Хансловен назвал это «плохим суждением», но бывший аналитик компании говорит прямо: это инсайдерская угроза, и спор тут не только о формулировках, а о доверии к тем, кто должен это доверие защищать. О конфликте сообщает The Register. Издание приводит заявление Хансловена, опубликованное 30 июня: руководство Huntress знает о «сомнительных, долгосрочных коммуникациях» между действующим threat hunter компании и киберпреступником. В одном из эпизодов сотрудница, по словам CEO, сообщила злоумышленнику, что к ней обращались правоохранители по его поводу. Хансловен отдельно подчеркнул: компания не считает это незаконным действием, но признает, что решение было крайне неудачным. Поводом для публичного скандала стали заявления бывшего аналитика Huntress

30 июня 2026 года Huntress оказалась в центре истории, которая для рынка кибербезопасности звучит особенно неприятно: сотрудница компании переслала оператору вымогателя сообщение от правоохранителей о том, что им интересуются. CEO Huntress Кайл Хансловен назвал это «плохим суждением», но бывший аналитик компании говорит прямо: это инсайдерская угроза, и спор тут не только о формулировках, а о доверии к тем, кто должен это доверие защищать.

О конфликте сообщает The Register. Издание приводит заявление Хансловена, опубликованное 30 июня: руководство Huntress знает о «сомнительных, долгосрочных коммуникациях» между действующим threat hunter компании и киберпреступником. В одном из эпизодов сотрудница, по словам CEO, сообщила злоумышленнику, что к ней обращались правоохранители по его поводу. Хансловен отдельно подчеркнул: компания не считает это незаконным действием, но признает, что решение было крайне неудачным.

Поводом для публичного скандала стали заявления бывшего аналитика Huntress Бена Фолланда, который ушел из компании в феврале 2026 года. На прошлой неделе он написал, что другой сотрудник Huntress передал американским силовикам и самому киберпреступнику чувствительную информацию, связанную с расследованием против Devman. Это оператор ransomware, которого связывают с Россией; по данным The Register, он использует модифицированный код DragonForce, построенный поверх утекших исходников Conti. Фолланд утверждает, что Devman публично и активно нацеливается на него и его семью, а участие сотрудницы Huntress в этой истории создает и репутационный ущерб для компании, и прямые риски для клиентов.

Самый тяжелый фрагмент обвинений касается не абстрактного «общения с threat actor», а вполне конкретного действия. По версии Фолланда, когда ФБР обратилось к сотруднице Huntress за информацией о Devman, она сразу же переслала самому Devman содержание этого контакта, включая скриншоты с именами агентов. Более того, как утверждает бывший сотрудник, она отказалась сотрудничать с правоохранителями, потому что те «хотели Devman». Если это описание верно, спор о том, считать ли эпизод формально незаконным, уходит на второй план: для любого security-вендора это выглядит как textbook-case того, что в отрасли называют insider threat. Не потому, что сотрудник обязательно «работает на злоумышленника», а потому, что внутренний доступ, доверие и контекст используются в интересах внешнего противника.

Huntress с такой трактовкой не согласна. Хансловен пишет, что по итогам внутреннего расследования команда усилила политики для ресерчеров, отдельно проговорила правила взаимодействия с threat actors и приняла «соответствующие административные меры». При этом он утверждает, что расследование не выявило признаков незаконного поведения, инсайдерской активности или других эпизодов разглашения информации. Проверка, по его словам, продолжается, но подробнее компания говорить не будет, ссылаясь на право сотрудницы на приватность. Здесь у Huntress понятная корпоративная логика: нельзя выкладывать внутреннее досье в публичный доступ. Проблема в том, что для внешнего рынка такая сдержанность читается не как аккуратность, а как попытка удержать историю в зоне «ошибки суждения», пока бывшие сотрудники описывают ее как системный провал.

Для рынка ИБ это чувствительный кейс еще и потому, что индустрия давно живет на грани странной нормы: аналитики, ресерчеры и threat hunters действительно иногда общаются с киберпреступниками напрямую. Кто-то так собирает индикаторы, кто-то пытается атрибутировать группы, кто-то вытаскивает технические детали атак. Сам по себе контакт с атакующими не новость и не автоматическое нарушение. Но у такого формата есть жесткая граница: исследователь может наблюдать, документировать, осторожно выстраивать канал, но не должен предупреждать фигуранта о действиях силовиков и тем более делиться деталями, которые помогают ему лучше скрываться. В этот момент исследовательская работа превращается в проблему комплаенса, а потом и в проблему управления рисками.

Для русскоязычной аудитории здесь есть несколько практических выводов. Во-первых, любые команды threat intel и SOC, которые общаются с даркнет-фигурами, должны иметь не устные договоренности, а формальные правила: что можно сообщать, что нельзя, кто одобряет контакт, где он логируется, когда обязательно подключаются юристы и руководство. Во-вторых, история показывает слабое место многих security-команд: высокий уровень технической автономии сотрудников не должен означать автономию этическую и процессную. В-третьих, если компания продает услуги MDR, threat hunting или incident response, клиенту уже недостаточно красивых отчетов о детектах. Появляется прямой вопрос к поставщику: как у вас устроен контроль за взаимодействием аналитиков с преступными группами, и есть ли там независимая эскалация, если контакт начинает выходить за рамки допустимого.

Для самой Huntress это теперь проверка не только на репутацию, но и на зрелость governance-практик. Фолланд в ответ на блог CEO уже написал в LinkedIn, что пересылка злоумышленнику сообщения от ФБР с именами агентов — это не «плохое суждение», а именно инсайдерская угроза. С этим определением можно спорить юридически, но не операционно: клиенты security-компаний покупают не только экспертизу, но и дисциплину обращения с чувствительной информацией. Поэтому главный вопрос после этой истории звучит так: где отрасль проведет границу между допустимой работой с threat actors и поведением, после которого слово «доверие» приходится заново объяснять на советах директоров. Детали кейса можно сверить в материале The Register .

The post Huntress оправдывается после контакта сотрудницы с оператором вымогателя appeared first on iTech News.