Unkarin suurin mediatalo Mediaworks joutui huhtikuun lopussa 2026 yhden vuoden suurimmista eurooppalaisista tietomurroista. Kiristysryhmä World Leaks ilmoitti 29. huhtikuuta 2026 varastaneensa yhtiön järjestelmistä noin 15 miljoonaa tiedostoa, yhteensä lähes 8,5 teratavua aineistoa, ja julkaisi sen pimeässä verkossa. Isku ei perustunut tiedostojen salaamiseen vaan puhtaaseen datakiristykseen, ja se paljasti palkkatietoja, pankkitilejä, sopimuksia sekä toimitusten sisäistä viestintää. Tapaus on opetus jokaiselle pohjoismaiselle organisaatiolle siitä, miten kiristyshaittaohjelmien talous on muuttunut.
Julkaistu 17. kesäkuuta 2026. Tässä uutisanalyysissä käymme läpi, mitä Mediaworksin tietomurrossa tapahtui, kuka World Leaks on, miten ryhmä syntyi Hunters International- ja Hive-kiristysryhmistä, ja mitä tapaus tarkoittaa Suomelle ja muille Pohjoismaille. Mukana on aikajana, vertailu vuoden 2026 muihin tietomurtoihin, asiantuntija-arviot sekä viisi ennustetta loppuvuodelle.
Mitä Mediaworksin tietomurrossa tapahtui
Mediaworks Hungary Zrt. on yksi Unkarin suurimmista mediayhtiöistä ja tunnettu hallitusta lähellä olevista, pääministeri Viktor Orbánin linjaa tukevista julkaisuistaan. Kiristysryhmä World Leaks lisäsi yhtiön vuotosivustolleen 29. huhtikuuta 2026, ja itse murron ajankohdaksi on myöhemmässä raportoinnissa esitetty 30. huhtikuuta 2026. Ryhmä uhkasi julkaista varastetun aineiston, ellei Mediaworks maksa lunnaita.
Varastetun datan mittakaava on poikkeuksellinen. Unkarin tietosuojaviranomainen NAIH vahvisti, että hyökkääjät saivat haltuunsa lähes 15 miljoonaa tiedostoa, yhteensä noin 8,5 teratavua. Pelkkä datan määrä viittaa siihen, että hyökkääjät olivat tunkeutuneet verkkoon syvälle ja liikkuneet siellä pitkään ilman, että sisäinen valvonta havaitsi heitä. World Leaksin oman ilmoituksen mukaan aineisto sisälsi työntekijöiden palkkatietoja ja korvauksia, luottamuksellisia sopimuksia, tilinpäätös- ja kirjanpitoaineistoa sekä sisäistä viestintää ja toimituksellisia keskusteluja.
Mediaworks vahvisti murron ja käynnisti sisäisen tutkinnan selvittääkseen vahingon laajuuden. Poikkeuksellisesti yhtiö kehotti toimittajia ja muita medioita olemaan raportoimatta vuodetusta aineistosta tai levittämättä sitä, vedoten tietoturvaan ja oikeudellisiin seurauksiin. Sama pyyntö tuli viranomaiselta: NAIH varoitti, että vuotaneen henkilödatan jakaminen voi itsessään olla GDPR:n vastaista. Tapaus on World Leaksin tiettävästi ensimmäinen tunnettu operaatio Unkarissa.
Kuka on World Leaks? Hunters Internationalin ja Hiven perintö
World Leaks ei ole uusi tulokas, vaan tunnetun rikollisverkoston uusin muoto. Tietoturvayhtiö Group-IB:n mukaan World Leaks on jatkoa Hunters International -kiristysryhmälle, joka puolestaan nousi esiin lokakuussa 2023. Ryhmän ensimmäinen julkinen uhri listattiin sen vuotosivustolle 13. lokakuuta 2023, ja pian sen jälkeen ensimmäinen haittaohjelmanäyte ladattiin VirusTotal-palveluun saksalaisesta IP-osoitteesta.
Tutkijat epäilivät jo varhain, että Hunters International oli alkuvuodesta 2023 viranomaisten hajottaman Hive-ryhmän uudelleenbrändäys, sillä haittaohjelmakoodi muistutti Hiven koodia. Hunters Internationalin ylläpitäjä väitti ostaneensa Hiven lähdekoodin verkkosovelluksineen. Ryhmä ehti kerätä Ransomware.live-seurantapalvelun mukaan 307 uhria, valtaosin Pohjois-Amerikassa.
Marraskuun 17. päivänä 2024 Hunters Internationalin operaattorit lähettivät kumppaneilleen sisäisen viestin projektin lopettamisesta, vedoten viranomaisten kasvavaan painostukseen ja heikkenevään kannattavuuteen. Tammikuussa 2025 samat tekijät käynnistivät uuden projektin nimellä World Leaks. Group-IB:n uhkatiedustelutiimi arvioi “korkealla varmuudella”, että World Leaksia pyörittävät henkilöt, jotka olivat aiemmin mukana Hunters Internationalin hallinnossa. Ransomware.liven mukaan World Leaks oli aktiivinen 18. toukokuuta 2025 alkaen ja oli ehtinyt kerätä 31 uhria kesään 2025 mennessä.
Salauksesta pelkkään kiristykseen: datakiristyksen nousu
World Leaksin merkittävin muutos edeltäjäänsä nähden on liiketoimintamalli. Hunters International toimi perinteisenä ransomware-as-a-service -operaationa, joka salasi uhrin tiedostot ja vaati maksua purkuavaimesta, usein yhdistettynä uhkaan vuotaa data (niin kutsuttu kaksoiskiristys). World Leaks luopui tästä ja keskittyi pelkkään datan varastamiseen ja kiristykseen ilman salausta. Blackpoint Cyber kuvaa ryhmää termillä Extortion-as-a-Service, kiristys palveluna.
Logiikka on kylmän taloudellinen. Salaus on teknisesti riskialtista, herättää nopeasti huomiota ja antaa uhrille mahdollisuuden palautua varmuuskopioista maksamatta. Pelkkä datavarkaus taas kääntää painostuksen maineriskiin ja sääntelyseuraamuksiin: vaikka organisaatio palauttaisi järjestelmänsä, varastettua dataa ei saa takaisin. Halcyonin mukaan World Leaks tarjoaa kumppaneilleen jopa erillisen “Insider”-portaalin, joka antaa toimittajille 24 tunnin ennakkopääsyn varastettuun aineistoon, eli painostuskoneiston, joka on rakennettu julkisuuden ympärille.
Malli ei kuitenkaan ole täysin johdonmukainen. Tietoturvayhtiö Darktrace raportoi alkuvuonna 2026 havainneensa World Leaks -iskun, jossa ryhmä sekä varasti että salasi asiakkaan dataa, vastoin omaa “ei salausta” -lupaustaan. Tämä osoittaa, että rajat datakiristyksen ja perinteisen kiristyshaittaohjelman välillä ovat hämärtymässä myös World Leaksin kohdalla.
Vuodetun datan sisältö ja toimittajien lähdesuoja
Mediaworksin tapauksessa erityisen huolestuttavaa on aineiston laatu. Henkilötietojen, kuten nimien, osoitteiden ja pankkitilitietojen, lisäksi vuotoon sisältyi NAIH:n mukaan myös aineistoa, joka on luokiteltu yleisen edun kannalta merkittäväksi. World Leaksin ilmoituksen mukaan mukana oli toimituksen sisäisiä keskusteluja, mikä nostaa esiin journalistisen lähdesuojan kysymyksen.
Kun mediayhtiön sisäinen viestintä vuotaa, vaarassa ovat luottamukselliset lähteet, julkaisemattomat jutut ja toimitusten työnkulut. Tämä tekee mediasektorista erityisen houkuttelevan kohteen: yhtiöillä on hallussaan poliittisesti, taloudellisesti ja henkilökohtaisesti arkaluonteista tietoa, joka tarjoaa kiristäjälle poikkeuksellisen vivun. Mediaworksin asema hallitusta lähellä olevana toimijana lisää tapaukseen poliittisen ulottuvuuden, joka on harvinainen tavallisissa yritysmurroissa.
Tilanne synnytti myös lehdistönvapauskeskustelun. NAIH varoitti nimenomaisesti journalisteja levittämästä vuodettua aineistoa, ja Mediaworks itse kehotti toimittajia pidättäytymään raportoinnista. Tasapaino tietosuojan ja yleisön tiedonsaantioikeuden välillä on tällaisissa vuodoissa hauras, eikä siihen ole helppoa vastausta.
NAIH, GDPR ja 50 miljoonan forintin sakko
Unkarin tietosuojaviranomainen NAIH (National Authority for Data Protection and Freedom of Information) ilmoitti 4. toukokuuta 2026 avanneensa virallisen, viran puolesta käynnistetyn tutkinnan Mediaworksin tietomurrosta. Viranomainen kertoi saaneensa tiedon murrosta lehdistöraportoinnin kautta. NAIH korosti, että vuotaneen datan julkinen saatavuus ei tee sen käsittelystä tai julkaisemisesta laillista GDPR:n nojalla.
Tässä on tärkeää erottaa kaksi eri asiaa toisistaan, jottei synny väärinkäsityksiä. NAIH määräsi 26. toukokuuta 2026 Mediaworksille 50 miljoonan forintin sakon, joka vastaa noin 140 500 euroa. Tämä sakko ei kuitenkaan koskenut huhtikuun tietomurtoa vaan erillistä tapausta: Mediaworks oli julkaissut kolmessa julkaisussaan suoran linkin interaktiiviseen karttaan, joka paljasti lähes 200 000 Tisza-puolueeseen liittyvän henkilön tietoja, mukaan lukien poliittinen kanta ja osoitteet. NAIH katsoi, että yhtiöllä ei ollut riittävää oikeusperustetta tähän henkilötietojen käsittelyyn, ja vetosi GDPR:n 6 ja 9 artiklaan.
Itse huhtikuun tietomurrosta ei tämän analyysin julkaisuhetkellä ollut annettu erillistä GDPR-päätöstä, vaan tutkinta oli yhä kesken. Erottelu osoittaa, miten monitahoinen sääntely-ympäristö median ympärillä on: sama yhtiö voi olla samanaikaisesti tietomurron uhri ja tietosuojarikkomuksen tekijä.
Iskun aikajana
| Päivämäärä | Tapahtuma |
|---|---|
| 13.10.2023 | Hunters International ilmestyy, ensimmäinen uhri listataan vuotosivustolle |
| 17.11.2024 | Hunters Internationalin operaattorit ilmoittavat kumppaneille projektin lopettamisesta |
| Tammikuu 2025 | World Leaks käynnistyy, siirtyy pelkkään datakiristykseen ilman salausta |
| 18.5.2025 | World Leaks aktiivinen Ransomware.liven mukaan, 31 uhria kesään 2025 mennessä |
| Alkuvuosi 2026 | Darktrace havaitsee World Leaks -iskun, jossa myös salaus, vastoin ryhmän lupausta |
| 29.4.2026 | World Leaks ilmoittaa Mediaworks-iskusta vuotosivustollaan |
| 4.5.2026 | NAIH avaa tutkinnan ja varoittaa mediaa aineiston levittämisestä |
| 26.5.2026 | NAIH sakottaa Mediaworksia 50 milj. forintilla erillisestä Tisza-tapauksesta |
Näin isku vertautuu muihin vuoden 2026 tietomurtoihin
Mediaworksin tietomurto ei tapahtunut tyhjiössä. Touko-kesäkuu 2026 oli poikkeuksellisen vilkas tietomurtojen kuukausi Euroopassa ja maailmalla. Datan määrällä mitattuna Mediaworksin 8,5 teratavua nousee yhdeksi vuoden suurimmista, mutta uhrien lukumäärällä mitattuna sen ohittavat useat samanaikaiset iskut. Alla oleva taulukko vertaa keskeisiä tapauksia.
| Kohde | Ilmoitus | Ryhmä | Laajuus | Tyyppi |
|---|---|---|---|---|
| Mediaworks (Unkari) | 29.4.2026 | World Leaks | 8,5 TB / ~15 M tiedostoa | Datakiristys |
| Instructure / Canvas | 3.5.2026 | ShinyHunters | Tuhansia oppilaitoksia | Datavarkaus |
| Vimeo | 5.5.2026 | ShinyHunters | 119 000 henkilöä | Datavuoto |
| Charter Communications | 26.5.2026 | ShinyHunters (epäilty) | ~5 milj. asiakasta | Kiristys |
| FiCOBA (Ranska) | 19.2.2026 | Tuntematon | ~1,2 milj. tiliä | Tietokantamurto |
Vertailu paljastaa kaksi trendiä. Ensinnäkin valtaosa vuoden 2026 suurista iskuista on datavarkauksia eikä perinteistä salaukseen perustuvaa kiristystä. Toiseksi muutamat ryhmät, kuten ShinyHunters ja World Leaks, dominoivat tilastoja. Erona on, että ShinyHunters on iskenyt laajoihin kuluttajamääriin, kun taas World Leaks valitsi yksittäisen, poliittisesti latautuneen kohteen, jonka aineisto on poikkeuksellisen arkaluonteista.
Asiantuntijat varoittavat: kiristyksen talous on muuttunut
Tietoturvatutkijat ovat seuranneet World Leaksin syntyä tarkasti. Group-IB:n uhkatiedustelutiimin mukaan ryhmän juuret ovat selvät: analyytikot arvioivat “korkealla varmuudella”, että World Leaksia operoivat samat henkilöt, jotka aiemmin hallinnoivat Hunters Internationalia. Tämä jatkuvuus selittää, miksi ryhmä pystyi heti alusta lähtien toteuttamaan ammattimaisia, laajamittaisia operaatioita.
“Vastoin omaa kiristysmalliaan World Leaks toteutti hyökkäyksen, jossa asiakkaan data sekä varastettiin että salattiin.”
Darktrace, uhka-analyysiraportti, alkuvuosi 2026
Darktracen havainto on merkittävä, koska se osoittaa, että “ei salausta” -lupaus on markkinointia, ei tekninen rajoite. Ryhmä voi palata salaukseen, jos pelkkä datakiristys ei tuota tulosta. Blackpoint Cyber luokittelee World Leaksin Extortion-as-a-Service -toimijaksi, eli ryhmä myy kiristystyökaluja ja infrastruktuuria kumppaneilleen samaan tapaan kuin ransomware-as-a-service -mallissa, mutta ilman salausosaa.
Alan raportit tukevat tätä kuvaa laajemmin. Vuonna 2025 yli 70 prosenttia kiristyshaittaohjelmaiskuista sisälsi datan varastamisen, ja keskimääräinen lunnasvaatimus ylitti 1,5 miljoonaa dollaria. Vuotosivustoista on tullut hyökkääjien tärkein painostusväline. NAIH:n julkinen kanta tiivistää viranomaisen näkökulman: vuodetun datan julkinen saatavuus ei poista organisaatioiden GDPR-velvoitteita, eikä tee sen edelleenkäsittelyä lailliseksi.
| Mittari | Luku | Lähde |
|---|---|---|
| Datavarkaus osana kiristysiskuja (2025) | yli 70 % | Alan uhkaraportit |
| Keskimääräinen lunnasvaatimus | yli 1,5 milj. $ | Alan uhkaraportit |
| Hunters International -uhrit yhteensä | 307 | Ransomware.live |
| World Leaks -uhrit (kesä 2025) | 31 | Ransomware.live |
| Kyberhäiriöt Suomessa (2025) | 44 | DNV |
Miten 8,5 teratavun vuoto oli mahdollinen
Teknisesti Mediaworksin tapaus kertoo enemmän puolustuksen pettämisestä kuin hyökkääjän nerokkuudesta. Lähes 15 miljoonan tiedoston ja 8,5 teratavun siirtäminen ulos verkosta ei tapahdu hetkessä. Tällainen volyymi edellyttää, että hyökkääjä oli saanut pysyvän jalansijan järjestelmään ja liikkui siellä viikkoja tai kuukausia ilman, että poikkeava tiedonsiirto laukaisi hälytyksiä. Tämä on klassinen merkki puutteellisesta verkon sisäisestä valvonnasta ja segmentoinnin puutteesta.
World Leaksin ja Hunters Internationalin tunnetut menetelmät tukevat tätä tulkintaa. Group-IB on kuvannut, miten ryhmä tarjoaa kumppaneilleen valmiita työkaluja datan kartoittamiseen ja varastamiseen, sekä erillisen OSINT-palvelun, jolla uhreja painostetaan puhelimitse, sähköpostitse ja sosiaalisessa mediassa. Tämä viittaa siihen, että hyökkääjät tunsivat kohteen rakenteen tarkasti ennen julkista ilmoitusta. Mediasektorin järjestelmät, joissa yhdistyvät vanhat sisällönhallinta-alustat, palkkahallinto ja toimitusjärjestelmät, tarjoavat usein laajan ja heikosti valvotun hyökkäyspinnan.
Olennaista on, että pelkkä datakiristys ei jätä yhtä näkyvää jälkeä kuin salaus. Kun tiedostoja ei lukita, työntekijät jatkavat työtään normaalisti, eikä murtoa välttämättä huomata ennen kuin ryhmä julkaisee aineiston vuotosivustollaan. Tämä viive antaa hyökkääjälle aikaa ja heikentää organisaation kykyä reagoida ennen kuin vahinko on jo julkinen.
Markkinavaikutus ja kyberturvan kustannukset
Mediaworksin kaltaiset iskut nostavat kyberturvan hintaa koko Euroopassa. Kun datakiristyksestä tulee vallitseva malli, organisaatioiden on investoitava verkon sisäiseen valvontaan, sillä 8,5 teratavun vuoto edellyttää, että hyökkääjä on liikkunut järjestelmässä pitkään huomaamatta. Varmuuskopiot eivät enää riitä suojaksi, koska kiristäjä ei salaa dataa vaan uhkaa julkaista sen.
Suomen kyberturvamarkkinan arvioidaan olevan noin 369,77 miljoonaa dollaria vuonna 2026 (lähde: Mordor Intelligence), ja sen ennustetaan kasvavan 6,92 prosentin vuosivauhtia 516,77 miljoonaan dollariin vuoteen 2031 mennessä. Kasvua ajaa sääntely: NIS2-direktiivin saattaminen osaksi Suomen lakia huhtikuussa 2025 toi noin 5 000 organisaatiota 24 tunnin ilmoitusvelvollisuuden piiriin, ja Suomen pysyvä 4,7 miljoonan euron vuotuinen kyberbudjetin lisäys astui voimaan tammikuussa 2026.
Mediasektorille isku on erityisen kallis maineen näkökulmasta. Toimituksellisen viestinnän vuoto voi rapauttaa lähteiden luottamuksen vuosiksi, ja sen rahallista arvoa on vaikea mitata. Vakuutusyhtiöt ovat jo reagoineet datakiristyksen nousuun nostamalla kybervakuutusten hintoja ja tiukentamalla ehtoja, mikä kasvattaa kustannuksia myös niille organisaatioille, joita ei ole vielä murrettu.
Datakiristyksen taloudellinen logiikka selittää myös, miksi ilmiö leviää nopeasti. Kun keskimääräinen lunnasvaatimus ylittää 1,5 miljoonaa dollaria ja onnistunut isku ei vaadi monimutkaista salausinfrastruktuuria, tuoton ja riskin suhde kääntyy hyökkääjän eduksi. Tämä houkuttelee uusia toimijoita ja kumppaneita Extortion-as-a-Service -malliin, jossa varsinainen murtautuja ja datan kiristäjä voivat olla eri tahoja. Lopputulos on, että uhrien määrä kasvaa, vaikka yksittäisten ryhmien nimet vaihtuvat.
Mitä tämä tarkoittaa Suomelle ja Pohjoismaille
Vaikka Mediaworks on unkarilainen yhtiö, isku on suora varoitus pohjoismaisille organisaatioille. World Leaks on osoittanut laajentavansa maantieteellistä toimintaansa, ja Halcyonin mukaan ryhmä on iskenyt Yhdysvaltojen ohella Kanadaan, Saksaan, Belgiaan ja muihin Euroopan maihin. Pohjoismaiset mediatalot, kunnat ja julkishallinnon toimijat ovat samanlaisia kohteita: niillä on arkaluonteista dataa ja usein hajanainen, vanhentunut IT-infrastruktuuri.
DNV:n mukaan Suomessa havaittiin 44 kyberhäiriötä vuonna 2025, kun Ruotsissa luku oli 60, Tanskassa 41 ja Norjassa 21. Pohjoismaat eivät ole syrjässä uhkilta. Suomen Supo on lisäksi varoittanut, että venäläiset ja kiinalaiset tiedustelutoimijat hyödyntävät heikosti suojattuja laitteita ja verkkoinfrastruktuuria. Datakiristys ja valtiollinen vakoilu lähestyvät toisiaan, kun molemmissa tavoitteena on aineiston varastaminen havaitsematta.
Sääntelyn näkökulmasta tapaus alleviivaa NIS2-direktiivin ja tulevan Cyber Resilience Actin merkitystä. NIS2 velvoittaa keskeiset toimijat ilmoittamaan vakavista häiriöistä 24 tunnin kuluessa, ja CRA tuo tuotteille suunnitteluvaiheen tietoturvavaatimukset. Pohjoismaisen organisaation kannattaa olettaa, että datakiristys kohdistuu ennemmin tai myöhemmin myös sen toimialaan.
Pohjoismaisilla mediataloilla on lisäksi erityispiirre, joka tekee niistä houkuttelevia: vahva yhteiskunnallinen rooli ja luottamus. Onnistunut isku sanomalehteen tai julkiseen yleisradiotoimijaan ei vahingoita vain yhtiötä vaan myös yleisön luottamusta tiedonvälitykseen. Hyökkääjälle tämä on lisävipu, sillä uhka julkistaa lähdeaineistoa tai toimituksen sisäisiä keskusteluja painostaa organisaatiota maksamaan nopeammin kuin pelkkä taloudellinen vahinko. Juuri tästä syystä mediasektorin puolustusbudjetit ovat nousussa koko Pohjolassa.
Historiallinen konteksti: kiristyshaittaohjelmien evoluutio
World Leaksin tarina kuvaa koko kiristysrikollisuuden kehityskaarta. Hive-ryhmä oli yksi 2020-luvun alun aktiivisimmista ransomware-operaatioista, kunnes kansainvälinen viranomaisoperaatio hajotti sen alkuvuonna 2023. Sen koodi ja osa toimijoista siirtyivät Hunters Internationaliin, joka jatkoi kaksoiskiristyksellä. Kun viranomaispaine ja salauksen kannattamattomuus kasvoivat, syntyi World Leaks, joka luopui salauksesta kokonaan.
Tämä kolmiportainen evoluutio (Hive, Hunters International, World Leaks) osoittaa, miten kiristysryhmät selviävät viranomaistoimista uudelleenbrändäämällä. Vaikka brändi vaihtuu, ydintoimijat, työkalut ja infrastruktuuri säilyvät. Tämä tekee pelkän ryhmänimen takaa-ajosta tehotonta puolustusta: kun yksi nimi katoaa, sama osaaminen ilmestyy pian toisen alle.
Siirtymä salauksesta datakiristykseen on alan suurin muutos sitten kaksoiskiristyksen yleistymisen. Se siirtää painopisteen järjestelmien palautuksesta tiedon hallintaan: tärkeintä ei ole enää se, saako organisaatio koneensa takaisin käyntiin, vaan se, mitä dataa hyökkääjä on saanut ja mitä se sillä uhkaa tehdä.
Viisi ennustetta loppuvuodelle 2026
- Datakiristys ohittaa salauksen. Yhä useampi ryhmä luopuu salauksesta ja siirtyy pelkkään datavarkauteen, koska se on teknisesti riskittömämpää ja painostaa uhria sääntelysakkojen ja maineen kautta.
- Mediatalot nousevat ensisijaiseksi kohteeksi. Mediaworksin tapaus näyttää mallin, jota kopioidaan: toimitusten data on poikkeuksellisen arvokasta kiristäjälle, ja iskut leviävät myös Pohjoismaihin.
- World Leaks palaa ajoittain salaukseen. Darktracen havainnon perusteella ryhmä käyttää salausta valikoidusti, kun pelkkä datakiristys ei tuota maksua, eli “ei salausta” -malli rapautuu.
- GDPR-sakot kasvavat tietomurtojen myötä. Viranomaiset, NAIH mukaan lukien, tiukentavat linjaansa sekä uhrien että vuodetun datan levittäjien suhteen, mikä nostaa tietomurtojen kokonaiskustannusta.
- Uudelleenbrändäys jatkuu. Kun World Leaks joutuu viranomaispaineeseen, sen ydintoimijat ilmestyvät uudella nimellä, aivan kuten Hivestä tuli Hunters International ja siitä World Leaks.
Näin organisaatiot voivat suojautua datakiristykseltä
Koska World Leaksin kaltaiset ryhmät eivät enää salaa dataa vaan varastavat sitä, puolustuksen painopisteen on siirryttävä. Varmuuskopiot eivät auta, jos data on jo vuotanut. Tärkeintä on havaita poikkeava tiedonsiirto verkossa ennen kuin teratavut ehtivät ulos.
- Valvo lähtevää liikennettä. 8,5 teratavun siirto näkyy verkon telemetriassa, jos sitä seurataan. Poikkeavan datansiirron havaitseminen on keskeisin yksittäinen suoja.
- Segmentoi verkko. Rajaa pääsy arkaluonteisiin järjestelmiin, jotta yhden tunnuksen murtaminen ei avaa koko tietovarantoa.
- Ota käyttöön monivaiheinen tunnistautuminen. Suurin osa murroista alkaa varastetuista tunnuksista. Vahva tunnistautuminen katkaisee yleisimmän hyökkäyspolun.
- Harjoittele ilmoitusvelvollisuutta. NIS2 vaatii 24 tunnin ilmoituksen vakavista häiriöistä. Prosessi on testattava etukäteen, ei kriisin keskellä.
- Suojaa toimituksellinen viestintä erikseen. Mediatalojen on käsiteltävä lähdetietoja ja sisäisiä keskusteluja korkeimman suojaustason aineistona.
Usein kysytyt kysymykset
Mikä on World Leaks?
World Leaks on tammikuussa 2025 syntynyt kiristysryhmä, joka keskittyy datan varastamiseen ja kiristykseen ilman tiedostojen salausta. Group-IB:n mukaan se on jatkoa Hunters International -ryhmälle, joka puolestaan oli viranomaisten hajottaman Hive-ryhmän uudelleenbrändäys.
Kuinka paljon dataa Mediaworksista vuoti?
NAIH:n mukaan hyökkääjät saivat haltuunsa lähes 15 miljoonaa tiedostoa, yhteensä noin 8,5 teratavua. Aineisto sisälsi nimiä, osoitteita, pankkitilitietoja, palkkatietoja, sopimuksia ja toimituksen sisäistä viestintää.
Koskiko 50 miljoonan forintin sakko tietomurtoa?
Ei. NAIH:n 26. toukokuuta 2026 määräämä noin 140 500 euron sakko koski erillistä tapausta, jossa Mediaworks julkaisi linkin karttaan, joka paljasti lähes 200 000 Tisza-puolueeseen liittyvän henkilön tietoja. Itse huhtikuun tietomurron tutkinta oli yhä kesken.
Salaako World Leaks tiedostot kuten perinteinen kiristyshaittaohjelma?
Ryhmä väittää luopuneensa salauksesta, mutta Darktrace havaitsi alkuvuonna 2026 iskun, jossa data sekä varastettiin että salattiin. “Ei salausta” -malli on siis ennemmin markkinointia kuin ehdoton sääntö.
Uhkaako World Leaks myös pohjoismaisia organisaatioita?
Kyllä. Ryhmä on laajentanut toimintaansa Yhdysvalloista Eurooppaan, ja sen kohteena ovat olleet muun muassa saksalaiset ja belgialaiset organisaatiot. Pohjoismaiset mediatalot ja julkishallinto ovat samankaltaisia, arkaluonteista dataa hallitsevia kohteita.
Miten datakiristykseltä voi suojautua?
Keskeisintä on havaita poikkeava lähtevä tiedonsiirto, segmentoida verkko, ottaa käyttöön monivaiheinen tunnistautuminen ja suojata arkaluonteisin data erikseen. Varmuuskopiot eivät enää riitä, koska kiristäjä ei salaa dataa vaan uhkaa julkaista sen.
Mikä on Hunters Internationalin ja Hiven yhteys World Leaksiin?
Hive hajotettiin viranomaisoperaatiossa alkuvuonna 2023. Sen perua on Hunters International, joka nousi esiin lokakuussa 2023 ja keräsi 307 uhria. Tammikuussa 2025 samat toimijat käynnistivät World Leaksin. Kyseessä on sama ydinverkosto kolmella eri nimellä.
Aiheeseen liittyvää (Related Coverage)
- Qilin: 1 066 kiristysiskua, 408 % kasvu [2026]
- Salt Typhoon: 80 maata ja FBI:n salakuuntelu [2026]
- Office-nollapäivä CVE-2026-21509: APT28 takana [2026]
- NIS2 Suomessa: 24 tunnin ilmoitus, 10 M€ sakot [2026]
- Cyber Resilience Act: 15 M€ sakot [2026]
- Pohjoismaiden kyberuhat: 44 häiriötä Suomessa [2026]
- Tietomurrot: miten ne tapahtuvat ja miten suojaudut
