Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 17

24. apr 2026
Lesetid: 6 min

Ukens saker samler seg rundt tilliten til infrastrukturen virksomhetene er avhengige av. Statssponsede aktører plantet bakdører i Cisco-brannmurer som overlever patching. Shai-Hulud-ormen tok nok en runde på npm, denne gangen via Bitwardens CI/CD-pipeline. EU ga sine første reelle NIS2-bøter, med personlig lederansvar i sentrum. I transportbransjen stjeler kriminelle fysiske godssendinger etter å ha overtatt transportørenes egne bookingsystemer. Og britiske sykehus sliter fortsatt med ettervirkningene av et løsepengeangrep som er halvannet år gammelt.

Statssponset bakdør overlever patching i Cisco ASA

CISA, NCSC-UK, Cisco og NSM varslet 23. april om skadevaren FIRESTARTER, som gir vedvarende tilgang til Cisco ASA- og Firepower-enheter selv etter sikkerhetsoppdateringer. Trusselaktøren er sporet av Cisco Talos som UAT-4356, knyttet til statssponset ArcaneDoor-kampanje.

FIRESTARTER ble funnet på en amerikansk føderal etats Cisco Firepower-enhet i forbindelse med CISAs løpende overvåking. Skadevaren utnytter to tidligere varslede sårbarheter (CVE-2025-20333 og CVE-2025-20362) som initial inngang, men har en persistensmekanisme som overlever både reboot og firmware-oppdatering. Bare en hard avstenging – fysisk frakobling av strøm – fjerner koden fra minnet. CISA har gitt amerikanske føderale etater frist til 30. april med å gjennomføre denne prosessen. NSM anbefaler norske virksomheter å følge Ciscos oppdateringer og CISAs veiledning, og understreker at de opprinnelige sårbarhetene har vært aktivt utnyttet siden september 2025.

Hva så?

Saken er et godt eksempel på et mønster som blir tydeligere for hvert år: perimeter-enhetene som skal beskytte nettverket, er blitt de mest attraktive målene for statsstøttede aktører. En kompromittert ASA-boks gir både VPN-tilgang og et skjult observasjonspunkt, og fordi den ofte ligger før de fleste deteksjonsmekanismene, er det realistisk at FIRESTARTER-lignende kode har levd uoppdaget i måneder i flere miljøer. Det praktisk viktige her er at patching, som vi har bygget hele grunnsikringen på, ikke dekker denne typen hendelser. Norske virksomheter med Cisco ASA eller FTD på perimeter bør anta at enheter som var eksponert i vinduet mellom september og patching kan være kompromittert, og planlegge deretter.

Lenke: https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-nsm/persistent-skadevare-i-cisco-secure-firewall-asa-og-secure-ftd og https://www.cisa.gov/news-events/analysis-reports/ar26-113a) (23. april 2026)

Shai-Hulud-ormen tilbake – Bitwarden CLI kompromittert

Forskere bekreftet 23. april at npm-pakken @bitwarden/cli versjon 2026.4.0 ble kompromittert som del av en bredere kampanje mot utviklingsmiljøer. Ondsinnet kode injisert via Bitwardens CI/CD-pipeline stjeler GitHub-, AWS-, Azure-, GCP- og SSH-legitimasjon.

Angrepet er attributert til trusselaktøren TeamPCP og utgjør den tredje bølgen av Shai-Hulud, ormen som først traff npm-økosystemet i september 2025. Malwaren er selvpropagerende: når den infiserer en utviklers maskin, leter den etter publiseringstokens og injiserer seg selv i pakker utvikleren kan publisere. Bitwarden har bekreftet at vanlige brukere av nettleser-, desktop- og mobilappene ikke er berørt. Kompromitteringen rammer utelukkende miljøer der CLI-verktøyet er installert via npm, typisk i automatisering og CI/CD. Samme uke dokumenterte GitGuardian tre parallelle forsyningskjedeangrep på npm, PyPI og Docker Hub med samme mål: stjele utvikler-legitimasjon fra pipelines.

Hva så?

Det spesielle med Shai-Hulud og beslektede kampanjer er at de flytter forsyningskjedeangrepene fra sluttbrukeren og inn i bygge-miljøet. En kompromittert CI-runner kan være en mer verdifull posisjon enn en kompromittert produksjonsserver, fordi den har legitimasjon til alle miljøene pipelinen rører ved. Bekymringen er at utviklingsplattformen er blitt angrepsflaten norske virksomheter sjelden har et modent tilsyns-regime for. Prinsipielt likner dette på hva som skjedde med Solarwinds, bare at terskelen for å kompromittere et npm-token er mye lavere enn for å kompromittere en programvareleverandørs byggemiljø.

Lenke: https://www.bleepingcomputer.com/news/security/new-npm-supply-chain-attack-self-spreads-to-steal-auth-tokens/(22. april 2026)

Første NIS2-bøter i EU – og den norske implementeringen nærmer seg

I løpet av våren 2026 har NIS2-håndhevelsen akselerert betydelig på tvers av EU. Tyskland ila sin første NIS2-bot i februar, Polens KSC-lov trådte i kraft 3. april, og Belgia satte sin første samsvarsvurderingsfrist til 18. april.

Den tyske boten på 850 000 euro gikk til en mellomstor skytjenesteleverandør for manglende risikostyring og hendelseshåndtering. Tyskland har i tillegg innført personlig ansvar for ledere, med bøter opp til 500 000 euro og mulighet for midlertidig ledelsesforbud ved grov uaktsomhet. Frankrike har åpnet tilsyn mot 14 virksomheter innen helse og digital infrastruktur. Nederland krever egenvurdering fra alle essensielle og viktige enheter innen juni. Implementeringen er fortsatt fragmentert: KPMG anslo i april 2026 at 84 prosent av virksomheter i virkefelt ikke er klare. Norge venter fortsatt på innføring av NIS2.

Hva så?

Mønsteret som tegner seg er at NIS2 ikke håndheves likt på tvers av EU, og at nasjonale variasjoner i bøte-regimer og sektorkrav kan skape disproporsjonale etterlevelses-kostnader for virksomheter med aktivitet i flere land. Det som er nytt her, sammenlignet med GDPR-lanseringen i 2018, er at personlig lederansvar er innebygd fra starten og at den første bøtene faktisk kommer i et tempo som signaliserer reell vilje til håndhevelse. For norske virksomheter som allerede er i ferd med å kartlegge NIS2-forpliktelser, er det tysk og polsk praksis som mest sannsynlig vil være retningsgivende for hvordan norsk tilsynspraksis utvikler seg.

Lenke: https://passwork.pro/blog/nis2-latest-news-april-2026/ (20. april 2026)

Hackere stjeler ekte gods ved å kapre transportselskapers datasystemer

En ny rapport fra Proofpoint, publisert 16. april, viser hvordan kriminelle bryter seg inn i transport- og logistikkselskaper for å stjele fysiske godssendinger.

Proofpoints forskere fulgte angrepene i en måned ved å bevisst la en testmaskin bli angrepet. Angrepet starter med at kriminelle tar over en konto på en fraktmarkedsplass og legger ut falske oppdrag. Når en transportør melder interesse, får de tilsendt en lenke som i stillhet installerer fjernstyringsverktøy som ScreenConnect, Pulseway og SimpleHelp. Flere verktøy installeres parallelt, slik at angriperen beholder tilgang selv om ett blir oppdaget. Fra innsiden byr angriperne på ekte lastoppdrag i transportørens navn, bestiller transport gjennom vanlige kanaler, og dirigerer godset til sine egne mottakere. Tapene fra lastetyveri i Nord-Amerika økte til 6,6 milliarder dollar i 2025, i stor grad drevet av denne typen angrep.

Hva så?

Det interessante er ikke at fjernstyringsverktøy misbrukes, det er blitt en standardmetode. Det er koblingen mellom IT-innbrudd og fysisk tyveri som gjør saken verdt å merke seg. Angriperen bruker legitime systemer til å vinne reelle oppdrag, og godset forsvinner gjennom de samme kanalene som ellers fungerer. For norsk transport- og grossistsektor peker det mot at beredskapen må dekke både drift og IT samtidig. En disponent som får en oppdatert fraktinstruks fra en kjent megler, og en økonomisjef som får en uvanlig betalingsforespørsel, er ofte to deler av samme angrep, men er noe som kan være krevende for mange virksomheter å se i sammenheng.

Lenke: https://www.proofpoint.com/us/blog/threat-insight/remote-access-real-cargo-cybercriminals-targeting-trucking-and-logistics (16. april 2026)

Løsepengeangrep preger driften 18 måneder etter gjenoppretting

Halvannet år etter Qilin-angrepet mot britiske sykehus sliter helseinstitusjonene fremdeles med tapte prøvesvar og redusert pasientkapasitet.

Et løsepengeangrep mot et nettverk av sykehus i London fortsetter å skape alvorlige driftsutfordringer lenge etter selve hendelsen. Selv om de sentrale IT-systemene er gjenoppbygd og infrastrukturen friskmeldt, henger kjernevirksomheten etter. Rapporter fra helsemyndighetene viser at etterslepet av manuelle registreringer, tapte historiske data og ufullstendige pasientjournaler spiser opp de ansattes kapasitet. Følgen er avlyste operasjoner og varig svekket tillit til informasjonssystemene. Angrepet rammet opprinnelig en underleverandør av patologitjenester, noe som utløste en kjedereaksjon gjennom store deler av det britiske helsenettet.

Hva så?

Hendelsen utfordrer oppfatningen av hva en gjenopprettingsfase faktisk innebærer. Gjenoppbygging av domenekontrollere og nettverk utgjør gjerne bare en brøkdel av det totale kriseforløpet. Mønsteret viser at tap av dataintegritet skaper en organisatorisk gjeld som krever tid å rydde opp i, lenge etter at den tekniske hendelseshåndteringen er avsluttet. Dette betyr at beredskapsplanlegging må ta høyde for svært langvarige driftsforstyrrelser. Situasjonen i Storbritannia illustrerer at motstandskraft handler vel så mye om evnen til å opprettholde og verifisere manuelle rutiner, som om å etablere teknisk oppetid.

Lenke: https://therecord.media/ransomware-nhs-cyberattack-disruption) (17. april 2026)

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk