Плодовитая киберпреступная группа, называющая себя «Разрозненные охотники LAPSUS$ » в этом году доминировал в заголовках, регулярно воруя данные и публично массово вымогая десятки крупных корпораций. Но, похоже, ситуация несколько изменилась для «Рей» — прозвища, выбранного техническим оператором и публичным лицом хакерской группы: ранее на этой неделе Рей подтвердил свою реальную личность и согласился на интервью после того, как KrebsOnSecurity выследил его и связался с отцом.
Рассеянные LAPSUS$ Hunters (SLSH) считаются объединением трёх хакерских групп — Рассеянный паук , LAPSUS$ и ShinyHunters . Члены этих банд происходят из многих одних и тех же чат-каналов на Com , преимущественно англоязычное киберпреступное сообщество, действующее на множестве серверов Telegram и Discord.
В мае 2025 года члены SLSH запустили кампанию по социальной инженерии, используя голосовой фишинг, чтобы обмануть цели и заставить их подключить вредоносное приложение к порталу Salesforce своей организации. Позже группа запустила портал утечки данных, который угрожал опубликовать внутренние данные трёх десятков компаний, якобы имевших кражу данных Salesforce, включая Toyota , FedEx , Disney/Hulu , и UPS .
Новый сайт о вымогательстве, связанный с ShinyHunters, угрожает опубликовать украденные данные, если Salesforce или отдельные компании-жертвы не согласятся выплатить выкуп.
На прошлой неделе канал SLSH в Telegram опубликовал предложение о привлечении и вознаграждении «инсайдеров» — сотрудников крупных компаний, которые соглашаются делиться внутренним доступом к сети работодателя ради доли выкупа, который в итоге оплачивает пострадавшая компания.
SLSH уже просил инсайдерский доступ ранее, но их последний призыв к недовольных сотрудникам начал распространяться в социальных сетях одновременно с новостью о кибербезопасности Crowdstrike уволил сотрудника за якобы обмен скриншотами внутренних систем с хакерской группой (Crowdstrike заявила, что их системы никогда не были скомпрометированы и передала дело правоохранительным органам).
Сервер Telegram для Scattered LAPSUS$ Hunters пытается привлечь инсайдеров из крупных компаний.
Члены SLSH традиционно использовали шифраторы других банд вымогателей в атаках, включая вредоносное ПО от партнерских программ, таких как ALPHV/BlackCat, Qilin, RansomHub и DragonForce. Но на прошлой неделе SLSH объявила на своём канале в Telegram о запуске собственной операции вымогателей как услуги под названием ShinySp1d3r .
Лицо, ответственное за выпуск предложения ShinySp1d3r, является основным участником SLSH под псевдонимом «Rey» и в настоящее время одним из трёх администраторов канала SLSH в Telegram. Ранее Рей была Администратор сайта утечки данных для Хеллкэт , группы, занимавшейся вымогателями, появившейся в конце 2024 года и участвовавшей в атаках на компании, включая Schneider Electric , Telefonica , и Оранжевая Румыния .
Недавний, слегка отредактированный скриншот описания Telegram-канала Scattered LAPSUS$ Hunters, на котором Рей показан как один из трёх администраторов.
Также в 2024 году Рей стал администратором последнее воплощение BreachForums, англоязычный форум по киберпреступлениям, доменные имена которого неоднократно конфисковывались ФБ и/или международными властями. В апреле 2025 года Рей опубликовано в Twitter/X о очередном захвате BreachForums ФБР.
5 октября 2025 года ФБ объявило, что вновь изъяло домены, связанные с BreachForums, который оно описал как крупный криминальный рынок, используемый ShinyHunters и другими для торговли украденной информацией и содействия вымогательству.
«Это удаление лишает доступа к ключевому хабу, используемому этими акторами для монетизации вторжений, привлечения соавторов и нацеливания на жертв в различных секторах», — заявили в ФБР.
Удивительно, но в прошлом году Рей совершил ряд критических ошибок в оперативной безопасности, которые предоставили множество способов установить и подтвердить его реальную личность и местонахождение. Читайте дальше, чтобы узнать, как всё развернулось для Рей.
КТО ТАКАЯ РЕЙ?
По данным киберразведывательной компании Intel 471 , Рей была активным пользователем различных программ BreachForums реинкарнаций за последние два года, написав более 200 публикаций с февраля 2024 по июль 2025 года. Intel 471 сообщает, что Рей ранее использовал этот псевдоним»Хикки-тян » на BreachForums, где их первый пост содержал данные, якобы украденные из Центры по контролю и профилактике заболеваний США (CDC).
В том посте февраля 2024 года о CDC Хикки-Чан говорит, что с ними можно связаться по имену пользователя Telegram @wristmug . В мае 2024 года @wristmug опубликовал в групповом чате Telegram под названием «Pantifan» копию письма с вымогательством, которое, по их словам, было указано с адресом электронной почты и паролем.
Сообщение, которое @wristmug вырезал и вставил, по-видимому, было частью автоматического мошенничества с электронной почтой, которое утверждает, что оно было отправлено хакером, скомпрометированным вашим компьютером и использовавшим вашу веб-камеру для записи видео с вами во время просмотра порно. Эти сообщения угрожают раскрыть видео всем вашим контактам, если вы не заплатите выкуп в биткоине, и обычно ссылаются на реальный пароль, который получатель использовал ранее.
«Нет», — написал аккаунт @wristmug с притворным ужасом после публикации скриншота мошеннического сообщения. «Мне нужно закончить, ребята.»
Сообщение, размещённое в Telegram Рей/@wristmug.
При публикации скриншота @wristmug удалил часть имени пользователя в адресе электронной почты, указанной в теле мошеннического сообщения. Однако они не удалили ранее использованный пароль и оставили доменную часть своего адреса электронной почты (@proton.me) видимой на скриншоте.
O5TDEV
Поиск по уникальному 15-символьному паролю @wristmug в сервисе отслеживания утечок Spycloud обнаруживает, что он использовался только одним адресом электронной почты: cybero5tdev@proton.me . По данным Spycloud, эти учетные данные были раскрыты как минимум дважды в начале 2024 года, когда устройство пользователя было заражено троянским сервером, который вытащил все его имена пользователей, пароли и куки аутентификации (это было впервые объявлено в марте 2025 года киберразведывательной компанией KELA ).
Intel 471 показывает адрес электронной почты cybero5tdev@proton.me принадлежавший участнику BreachForums, который использовал это имя пользователя o5tdev . Поиск по этому никнейму в Google показывает как минимум два архива осквернения сайтов, показывающих, что пользователь по имени o5tdev ранее участвовал в уничтожении сайтов с пропалестинскими сообщениями. Например, на скриншоте ниже видно, что 05tdev был частью группы под названием Команда Cyb3r Drag0nz .
Страницы осквернения Rey/o5tdev. Изображение: archive.org.
Отчет 2023 года от SentinelOne Cyb3r Drag0nz Team описал как хактивистскую группу с историей проведения DDoS-атак и кибердепортации, а также утечек данных.
«Команда Cyb3r Drag0nz утверждает, что сливала данные более чем о миллионе израильских граждан, распространённых через несколько утечек», — сообщает SentinelOne. «На сегодняшний день группа опубликовала несколько .RAR архивов предполагаемой личной информации о гражданах по всему Израилю.»
Компания по киберразведке Flashpoint находит пользователя Telegram, @05tdev был активен в 2023 и начале 2024 года, публикуя на арабском языке на антиизраильских каналах, таких как «Призрак Палестины». [full disclosure: Flashpoint is currently an advertiser on this blog].
«Я — ГИНТИ»
Flashpoint показывает, что аккаунт Рей в Telegram (ID7047194296) был особенно активен в канале, посвящённом киберпреступности под названием Джакузи , где этот пользователь поделился несколькими личными данными, включая то, что его отец был пилотом авиакомпании. В 2024 году Рей заявила, что ей 15 лет, и у неё есть семейные связи с Ирландией.
В частности, Рей упоминал в нескольких чатах в Telegram, что у него ирландское происхождение, даже выкладывая графику, показывающую распространенность фамилии «Гинти .”
Рей в Telegram, утверждая, что связана с фамилией «Гинти». Изображение: Flashpoint.
Spycloud проиндексировал сотни украденных учётных данных cybero5dev@proton.me, и эти данные указывают на то, что компьютер Рея — это общее устройство Microsoft Windows, расположенное в Аммане, Иордания. Данные учетных данных, украденные у Рей в начале 2024 года, показывают, что у заражённого ПК есть несколько пользователей, но все они имеют одну фамилию Хадер и адрес в Аммане, Иордания.
Данные «автозаполнения», взятые с семейного ПК Рей, содержат запись о 46-летнем мужчине Зайд Хадер там написано, что девичья фамилия его матери была Джинти. Данные инфокстилера также часто показывают Заида Хадера доступ к внутренним сайтам сотрудников Королевские иорданские авиалинии .
ПОЗНАКОМЬТЕСЬ С САЙФОМ
Данные инфокража ясно показывают, что полное имя Рей Саиф ад-Дин Хадер . Не сумев связаться с Сайфом напрямую, KrebsOnSecurity отправил электронное письмо его отцу Зайду. В сообщении отец приглашался ответить по электронной почте, телефону или по Signal, объясняя, что его сын, похоже, глубоко вовлечён в серьёзный киберзаговор.
Менее чем через два часа я получил сообщение от Саифа в Signal, который сказал, что его отец подозревает, что письмо — мошенничество, и переслал его ему.
«Я видел твоё письмо, к сожалению, думаю, мой отец не ответит, потому что они думают, что это какое-то ‘мошенническое письмо’», — сказал Саиф, который рассказал, что ему исполнится 16 лет в следующем месяце. «Поэтому я решил поговорить с тобой напрямую.»
Саиф объяснил, что уже слышал сообщения от европейских правоохранительных органов и пытался выйти из SLSH. Когда его спросили, почему тогда он участвовал в выпуске нового предложения SLSH ShinySp1d3r по версии вымогательского ПО, Саиф ответил, что не может просто так внезапно уйти из группы.
«Ну, я не могу просто так уйти, я пытаюсь убрать всё, с чем связан со мной, и двигаться дальше», — сказал он.
Бывший сайт вымогателей Hellcat. Изображение: Kelacyber.com
Он также поделился, что ShinySp1d3r — это просто переработка программы-вымогателей Hellcat, только модифицированная с помощью ИИ. «Я, по сути, дал исходный код вымогателя Hellcat.»
Саиф утверждает, что недавно сам связался с аккаунтом Telegram для Операция «Финал», Кодовое название продолжающейся правоохранительной операции, направленной против служб киберпреступности, поставщиков и их клиентов.
«Я уже сотрудничаю с правоохранительными органами», — сказал Саиф. «На самом деле, я общаюсь с ними как минимум с июня. Я рассказал им почти всё. Я особо не делал ничего вроде взлома в корпорацию или не связанного с вымогательством с сентября.»
Саиф предположил, что история о нём сейчас может поставить под угрозу любое дальнейшее сотрудничество, которое он сможет оказать. Он также сказал, что не уверен, контактировали ли американские или европейские власти с иорданским правительством по поводу его причастности к хакерской группе.
«История принесла бы столько нежелательного шума и сильно усложнила бы ситуацию, если я собираюсь сотрудничать», — сказал Саиф. «Я не знаю, что будет дальше, они сказали, что связаны с несколькими странами по поводу моего запроса, но прошла целая неделя, и я не получил от них никаких новостей.»
Саиф опубликовал скриншот, в котором указывалось, что он связался с властями Европола в конце прошлого месяца. Однако он не смог назвать ни одного из сотрудников правоохранительных органов, которые, по его словам, отвечали на его запросы, и KrebsOnSecurity не смогла подтвердить его заявления.
«Мне всё равно, я просто хочу отпустить всё это, даже если это будет тюрьма или что там они скажут», — сказал Саиф.
ЛУЧШИЙ 
ЕВРОПЕЙСКОГО СОЮЗА 
Cтратегический карточный симулятор 