Datalekkasje via kommersielle filopplastingstjenester

I dag ble det kjent at en norsk virksomhet med ca 3000 ansatte har blitt offer for HiveLeaks ransomware, som hevder å ha eksfiltrert ca 500 GB data fra virksomhetens systemer. HiveLeaks har en interessant ting til felles med LockBit2.0, som Secunor nylig møtte på i en hendelseshåndtering, og det er eksfiltrasjon via allment tilgjengelige filopplastingstjenester.

Mens LockBit2.0 kan benytte flere tjenester, benytter HiveLeaks tjenesten MEGA (mega.nz). Det gjør de ved å opprette en brukerkonto fra offerets infrastruktur, og deretter laste opp data som skal brukes til utpressing. I tidligere saker hvor offeret ikke har villet betale løsepenger, har HiveLeaks ganske enkelt publisert brukernavn og passord til MEGA-kontoen på lekkasjebloggen. Enkelt og funksjonelt.

MEGA fremstår som en legitim og veldrevet tjeneste, og det er sannsynligvis mange som ikke husker eller kjenner til tjenestens brokete fortid og fargerike grunnlegger, Kim Dotcom (Kim Schmitz/Kimble/Kim Tim Jim Vestor). MEGA er videreføringen av Kims opprinnelige tjeneste, Megaupload, som ble stengt etter at amerikanske myndigheter i 2012 siktet Kim Dotcom, Mathias Ortmann, Bram van der Kolk og Carter Edwards for en rekke straffbare forhold knyttet til Megaupload. Mathias Ortmann og Bram van der Kolk leder i dag MEGA, og saken om deres utlevering til USA synes å pågå fortsatt.

MEGA samarbeider ikke med myndigheter, og fjerner ikke opplastet innhold som beviselig er stjålet. Man kan mene mye om MEGAs rett til å eksistere, men eksistere gjør de – sammen med en mengde andre, kommersielle tjenester som opererer i gråsonen.

Selv om bruk av tjenester som MEGA kan være legitim, er skygge-IT et stort problem og en reell sikkerhetsutfordring, og bidrar til økt risiko og angrepsflate. Så lenge skyggen får bestå, er det i tillegg svært vanskelig å håndtere risikoen. Skru på lyset, få oversikt, og ta kontroll over dataflyt og angrepsflate!

Leave a Reply

%d bloggers like this: