Af Eskil Sørensen, 12/05/20
Hackergruppen Shiny Hunters forsøger nu at afsætte data stjålet fra 11 virksomheder. I sig selv ikke mange virksomheder, men i alt er der tale om databaser med 73 mio brugerrecords, der inden for den sidste uges tid er blevet sat til salg på markedspladser på The Dark Web. Det skriver Security Affairs og en række andre medier.
At hackere sælger data på Dark Web er ikke noget nyt. Det er den primære indtægtskilde fra datatyve. Det nye er, at data kommer fra Indonesiens største online store, hvor en database med brugerrecords har været kompromitteret. Data kommer angiveligt fra datalæk i marts 2020. Siden hen er Shiny Hunters også begyndt at sælge brugerdata fra en af de største læringsplatform i Indien, Unacademy.
Disse data må forventes senere at blive brugt til forskellige forsøg på kriminel aktivitet.
Shine Hunters også bekendtgjort, at de tidligere i år hackede sig ind på Microsofts Github-konto.
Værdikædeangreb
Selv om man ikke er hverken kunde hos Tokopedia i Indonesien eller bruger af Unacademia i Indien, så er angrebet en påmindelse om det, der er blevet advaret om i den sidste måneds tid fra både danske og udenlandske cybersikkerhedsmyndigheder.
Udnyttelse af en sårbarhed har givet en hackeraktør adgang til databasen; måske er det sket, mens det meste af verden begyndte at koncentrere sig om lukke ned som følge af spredningen af Coronavirus.
Siden kan man forestille sig, at hackergruppen har brugt en måneds tid på at forædle data, gruppere dem og gøre dem attraktive for købere, der kan bruge dem i nye aktiviteter, fx phishingaktiviteter, udsendelse af mails med malware eller ransomware.
Data bliver så sat til salg og købt af andre aktører, der i kombination med flere datatyper, som også er købt på The Dark Web, kan være en god business case at investere i for en kriminel gruppe.
Er det meningsgivende?
Som enkeltbruger er det vanskeligt at forhindre, at databaser med ens brugerdata hos en professionel leverandør kan blive kompromitteret. Men hvis databasen fx indeholder brugernavn og password, og man har brugt den kombination andre steder, så er der fri adgang til de brugerkonti. Og det bliver testet i vidt omfang. Også af den grund skal man have forskellige passwords til forskellige tjenester og bruge to-faktor autentifikation.
Skal man forhindre at blive offer for en phishingmail, er der ikke andet for end at være opmærksom på, hvem man får mails fra, indholdet i mailen og om dette sammenlagt er meningsgivende i forhold til én selv som modtager af mailen.
Det er her, The Human Firewall skal vise sin styrke.
Links:
https://www.bleepingcomputer.com/news/security/hacker-group-floods-dark-web-with-data-stolen-from-11-companies/
https://www.zdnet.com/article/a-hacker-group-is-selling-more-than-73-million-user-records-on-the-dark-web/
https://securityaffairs.co/wordpress/103003/cyber-crime/shiny-hunters-dark-web.html
https://www.zerofox.com/blog/shinyhunters-breach/
https://www.bankinfosecurity.com/hackers-try-to-sell-26-million-breached-records-report-a-14253