Гифка с Пиноккио, клоун и ФБР. Как увольнение одного аналитика пошатнуло репутацию крупного ИБ-вендора Huntress
Бывший аналитик Huntress пообещал через две недели опубликовать переписку компании с ФБР.
Американский поставщик услуг кибербезопасности Huntress оказался в центре конфликта с бывшим сотрудником. Спор стал публичным после отчёта компании об атаке на цепочку поставок через Klue: бывший аналитик Бен Фолланд ответил на публикацию гифкой с Пиноккио и эмодзи клоуна. Затем Фолланд заявил, что сотрудник Huntress мог передавать киберпреступнику DevMan сообщения от американских правоохранителей. По словам бывшего аналитика, компания пыталась заставить Фолланда замолчать юридическими угрозами.
В отчёте о Klue компания признала, что попала в число клиентов платформы, затронутых инцидентом, и заявила о приверженности «радикальной прозрачности» при раскрытии проблем безопасности. Фолланд, покинувший Huntress в феврале, позже уточнил, что претензии к бывшему работодателю не связаны с атакой на Klue.
В письме об увольнении, которое Фолланд позже опубликовал в LinkedIn, бывший аналитик написал, что ушёл из компании по личным причинам и из-за конфликта интересов. Последним рабочим днём стало 19 февраля. Позднее Фолланд заявил, что ещё в декабре 2025 года узнал о возможной передаче сообщений от американских правоохранителей киберпреступнику DevMan сотрудником Huntress.
DevMan называют вымогательской операцией, появившейся в апреле 2025 года. По данным Halcyon, DevMan связан с Qilin, DragonForce, Apos, RansomHub и другими проектами из экосистемы «вымогательство как услуга». Аналитики Vectra пишут, что DevMan использует модифицированный код DragonForce. Ранее SecurityLab рассказывал, как DragonForce пытается выстроить вокруг себя «картельную» модель вымогательского бизнеса.
По версии Фолланда, Huntress с декабря 2025 года пытается скрыть серьёзный инцидент от партнёров, клиентов и сотрудников. Бывший аналитик утверждает, что о предполагаемом инсайдере известно ФБР, но сотрудник продолжает работать в компании. Фолланд также считает, что инцидент создаёт риск для клиентов и может нанести серьёзный репутационный ущерб Huntress.
Фолланд связал поведение компании с подготовкой к возможному первичному размещению акций. По словам бывшего аналитика, Huntress думала не о прозрачности, а о том, как не допустить публикаций в прессе. Фолланд пообещал в течение двух недель после публикации представить доказательства: переписку с ФБР, сообщения между сотрудником Huntress и DevMan, записи телефонных разговоров, внутренние документы компании и угрозы в адрес Фолланда и членов семьи.
Глава Huntress Кайл Хэнслован заявил, что бывший сотрудник сообщил о коллеге, который мог проявить неосмотрительность при общении с киберпреступником. По словам Хэнслована, исследователям безопасности иногда приходится контактировать с вероятными злоумышленниками для сбора данных, которые помогают партнёрам и клиентам. Руководитель Huntress подчеркнул, что компания серьёзно отнеслась к словам Фолланда, но должна сохранять конфиденциальность сотрудников и текущего расследования.
В отдельном ответе на Reddit Хэнслован заявил, что Huntress не согласна с версией об инсайдере и не скрывала инцидент безопасности. Глава компании также отверг утверждение, что подготовка к первичному размещению акций могла оказаться важнее безопасности партнёров, клиентов или команды. Комментируя упоминание ФБР, Хэнслован написал, что часть материалов связана с активным взаимодействием с правоохранительными органами и юридическими процедурами, поэтому Huntress не может публично раскрыть все детали. Хэнслован допустил, что компания позже выпустит официальное заявление для клиентов и партнёров.