I detta nyhetsbrev ägnar vi uppmärksamhet åt ransomware, men i vanlig ordning även andra cybersäkerhetsnyheter från vår omvärld.
Hoppas just du njuter av lite sommarledighet och lata dagar. På vår mötesplats i Nässjö är det naturligtvis också lugnare, även om våra säkerhetsanalytiker i JSC Operations Center, inom ramen för vår tjänst ”JSC Defense”, arbetar varje dag med att upptäcka och åtgärda säkerhetsrelaterade incidenter i våra kunders IT-miljöer. Säkerhet sover aldrig 😉
Sommaren är normalt sätt en period av hög aktivitet när det gäller angreppsförsök, bland annat kopplat till phishing och ransomware. Fortsätt läsa så kommer du förstå varför detta är extra viktigt just nu…
SOU 2025:79
Regeringen har under sommaren mottagit utredningen Samlade förmågor för ökad cybersäkerhet. Utredningen föreslår att centrala delar av Myndigheten för samhällsskydd och beredskaps (MSB:s) cybersäkerhetsarbete överförs till Försvarets radioanstalt (FRA). Syftet med detta skulle vara att samla ansvaret inom det nationella cybersäkerhetscentret (NCSC), som sedan november 2024 är placerat hos FRA.
Själva bakgrunden till utredningen är att cyberhoten mot Sverige ökar, vilket kräver tydligare ansvarsfördelning och effektivare styrning. Utredningen visar också att det idag finns överlapp mellan FRA:s och MSB:s roller inom cybersäkerhet/cyberförsvar vilket innebär att visst dubbelarbete görs.
Carl-Oskar Bohlin, minister för civilt försvar, betonar att cybersäkerhet är en prioriterad fråga och att utvecklingen av NCSC är central för att stärka Sveriges motståndskraft mot digitala hot. Detta tycker vi på JSC är mycket bra!
Vad detta då i praktiken kommer innebära får vi se, att MSB fortsatt kommer ha en roll kopplat till olika metodstöd och liknande inom informationssäkerhet är nog klart, men det mer övergripande arbetet – exempelvis kopplat till efterlevnad av NIS2-direktivet och givetvis även stöd kring incidenter och incidenthantering – kommer att ligga på FRA.
”Någon” vet nog allt om dig…
En massiv dataläcka har nyligen avslöjat hundratals miljoner detaljerade poster om svenska medborgare och företag. Denna incident, som upptäcktes av forskare på Cybernews, involverar en felkonfigurerad server som låg helt öppen mot internet – utan någon form av autentisering, dvs. krav på inloggningsuppgifter(!?)
Den exponerade databasen innehöll över 100 miljoner poster med information från åren 2019 till 2024. Bland de läckta uppgifterna fanns:
- Fullständiga namn och namnbyten
- Personnummer, födelsedatum och kön
- Adresshistorik (även utomlands)
- Civilstånd och information om avlidna
- Skulder, betalningsanmärkningar och konkurser
- Inkomstuppgifter och skattedata
- Loggar över aktiviteter som flyttanmälningar och deklarationer
Detta innebär att en femårig ekonomisk och beteendemässig ”profil” av både privatpersoner och organisationer nu kan ha hamnat i orätta händer. Notera att vi skriver ”kan” – det är fortfarande inte känt om ”fel individer” fått tillgång till registret.
Denna typ av data är förstås extremt värdefull – både för legitima aktörer som exempelvis banker och kreditgivare, men också för cyberkriminella. Som vi antydde i inledningen så kan detta, om informationen hamnar i fel händer, innebära möjliga hot som:
- Målstyrda phishing-attacker
- Utpressning
- Företagsspionage
Initialt pekade spår mot det nordiska analysföretaget Risika skulle ha varit företaget som läckte informationen, man kan ju inte skriva att dom blev hackade när inget ”hack”, per definition genomfördes. Risika har dock förnekat att datan kommer från deras system. Det verkar i stället röra sig om en tredje part som haft tillgång till datan via licens – men som misslyckats med att säkra servern.
Vi bevakar detta och återrapporterar i kommande nyhetsbrev om ytterligare information inkommer.
Flygbolag som måltavla
Under sommaren har två större flygbolag drabbats av IT-problem, Alaska Airlines samt australienska Quantas.
Vi vet sedan tidigare att flygindustrin är extra utsatt för cyberangrepp, det är en väldigt digitaliserad verksamhet och attacker får stor uppmärksamhet samt förstås påverkan på samhället. Tidigare har bland annat SAS (2023), Air India (2021) och Cathay Pacific (2025) utsatts för angrepp, för att nämna ett axplock (några fler kommer nedan).
När Alaska Airlines under förra veckan tvingades stoppa alla sina flygningar på grund av ett IT-avbrott så var detta andra gången på drygt ett år som flygbolaget tvingas markbinda hela sin flotta. Rykten började tidigt florera om en hacker-attack men företaget dementerade detta. Dock började kunder till flygbolaget rapportera om konstiga händelser på sina konton, bland annat där så kallade flyg-/bonuspoäng hade försvunnit.
Ett flygbolag som dock bekräftat att man nyligen utsatts för ett cyberangrepp är det australiensiska flygbolaget Qantas. Attacken innebar att att 5,7 miljoner(!) kunders uppgifter exponerades. Enligt en uppdatering från Quantas, så rör det sig om ett intrång i ett kontaktcenter där kunddata lagrades.
Qantas samarbetar med Australiens nationella cybersäkerhets- och polisorgan i en pågående forensisk utredning. Företaget har fått kritik för otydliga uttalanden kring incidenten, särskilt efter att en tidigare bulletin från Quantas nämnde kontakt med en potentiell gärningsperson – ett påstående som senare togs bort.
Intrånget sker i en tid då flygindustrin, som sagt, är måltavla för organiserade cyberkriminella grupper. Hacker-gruppen ”Scattered Spider”, som tidigare attackerade MGM Casino och Caesars Entertainment, misstänks ligga bakom flera attacker mot flygbolag, inklusive Hawaiian Airlines och WestJet. Qantas har dock inte bekräftat någon koppling till denna grupp.
Ransomware-attack mot Ingram Micro
Stort attackfokus blir det i detta nyhetsbrev. Den amerikanska IT-giganten Ingram Micro, som även har en stor distributionsverksamhet i Sverige, har drabbats av en ransomware-attack. Attacken uppges ha slagit brett mot företagets interna system strax före den amerikanska nationaldagen 4:e juli. Händelsen har orsakat störningar i verksamheten och påverkat både kunder och samarbetspartners världen över.
Ingram Micro, som är en av världens största leverantörer av IT-produkter och tjänster, meddelade i ett uttalande att man omedelbart stängde ner de drabbade systemen och inledde en utredning tillsammans med cybersäkerhetsexperter. Även brottsbekämpande myndigheter i USA har informerats.
”Vi arbetar intensivt med att återställa systemen så att vi kan återuppta orderhantering och leveranser. Vi beklagar de störningar detta orsakar våra kunder och partners,” skriver företaget.
Företaget, som omsatte 48 miljarder dollar det senaste räkenskapsåret, har över 50 kontor globalt – från Nord- och Sydamerika till Europa, Asien och Mellanöstern.
Ransomware-grupp bakom attack
Enligt cybersäkerhetssajten BleepingComputer ligger ransomware-gruppen SafePay bakom attacken. Gruppen har tidigare riktat in sig på flera stora aktörer, bland annat teknikföretaget Microlise i Storbritannien och den amerikanska statliga entreprenören Conduent. Ransomware fortsätter alltjämt att vara en av skurkarnas föredragna metoder.
Slutligen
Det stormar verkligen där ute nu och även om vi hoppas att just du har det skönt i hängmattan så finns det all anledning att fortsätta (kanske till och med intensifiera) det proaktiva aktiva arbetet med informationssäkerhet när du är tillbaka från semestern. På JSC fortsätter vi stärka upp med duktig personal inom området och kommer kunna presentera en hel del roliga nyheter både kopplat till personal och andra aktiviteter efter semestrarna. På återhörande i augusti!
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.