Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - uke 38

17. sep 2025
Lesetid: 5 min

Et stort datainnbrudd hos Gucci-eier Kering rammer 7,4 millioner kunder og avdekker hvordan kjøpshistorikk kan misbrukes til målrettet svindel. Samtidig melder hackergruppen som står bak at de legger ned virksomheten, noe eksperter anser som en taktisk manøver. Løsepengevirusgrupper utnytter nå aktivt sårbarheter i VPN-løsninger, mens teknologigiganter som Microsoft slår tilbake ved å ta ned hundrevis av phishing-sider i en stadig mer intensiv kamp mot cyberkriminalitet.

Datainnbrudd hos Gucci-eier Kering rammer 7,4 millioner kunder

Det franske luksuskonsernet Kering har bekreftet at hackergruppen ShinyHunters har stjålet personopplysninger og detaljert kjøpshistorikk fra kunder av merker som Gucci og Balenciaga, noe som skaper en betydelig risiko for målrettet svindel.

Kering oppdaget i juni et datainnbrudd som fant sted i april 2025. Angriperne, som er identifisert som gruppen ShinyHunters, fikk tilgang til en omfattende mengde kundedata. Informasjonen som ble stjålet inkluderer kundenes fulle navn, bostedsadresser, e-postadresser og telefonnumre. Mer alvorlig er det at angriperne også sikret seg detaljerte kjøpsopplysninger, som viser nøyaktig hvilke produkter kundene har kjøpt og for hvilke beløp. Ingen direkte finansiell informasjon, som kredittkortnumre eller bankkontodetaljer, skal ha blitt kompromittert i hendelsen. ShinyHunters skal ha forsøkt å utpresse Kering for løsepenger i bytte mot ikke å offentliggjøre dataene. Hendelsen er en del av en større bølge av cyberangrep rettet mot luksusmerker gjennom 2025.

Hva så?

Denne saken viser at verdien av data ikke bare handler om kredittkortinformasjon. Slik informasjon er "gull" for kriminelle, fordi den muliggjør troverdige og målrettede svindelkampanjer (spear-phishing) mot velstående kunder. En svindler kan for eksempel kontakte en kunde med referanse til et spesifikt, nylig kjøp, noe som øker troverdigheten i svindelen. For en norsk bedrift betyr dette at selv om man har sikret betalingsløsningene i henhold til standarder som PCI DSS, kan et datainnbrudd i CRM-systemet eller kundedatabasen likevel føre til store økonomiske og omdømmemessige tap for bedriften og kundene. Saken understreker at kundedata er en kritisk ressurs som krever like høy beskyttelse som finansiell informasjon, og at risikovurderinger må inkludere verdien av data for sekundære angrep.

Lenke: https://www.bbc.com/news/articles/crl5j8ld615o (15. september 2025)

Notoriske hackergrupper hevder de legger ned

To av de mest aktive og fryktede cyberkriminelle gruppene, Scattered Spider og ShinyHunters, har uavhengig av hverandre annonsert at de avslutter sin virksomhet. Sikkerhetsbransjen tror imidlertid dette kun er et forsøk på rebranding.

Både Scattered Spider, en gruppe kjent for sofistikerte sosiale manipulasjonsangrep rettet mot helpdesker og IT-personell, og ShinyHunters, gruppen bak blant annet Kering-innbruddet, har kommet med offentlige uttalelser om at de trekker seg tilbake. Slike kunngjøringer er et kjent fenomen i de cyberkriminelle miljøene. Erfaring viser at slike "nedleggelser" ofte er en strategisk manøver som kan skje når gruppene føler at politietterforskning kommer for nærme. Det kan også være en bevisst strategi for å unngå oppmerksomhet før de gjenoppstår under et nytt navn, da gjerne med oppdaterte verktøy og nye taktikker. Sikkerhetseksperter anser det derfor som høyst usannsynlig at de erfarne kriminelle bak disse operasjonene har tenkt å pensjonere seg.

Hva så?

Ikke senk guarden. En slik "nedleggelse" betyr sjelden at trusselen forsvinner. Tvert imot kan det signalisere en kommende endring i angrepsmetoder og mål. Kjerneaktørene i disse gruppene besitter verdifull kompetanse og vil sannsynligvis dukke opp igjen i nye konstellasjoner. Ved å annonsere at de legger ned skaper de usikkerhet og trusseletterretningsmiljøene på bruke ressurser på å re-orientere seg mot det som måtte dukke opp fremover. Saken viser også at det er viktig å ha en trusselagnostisk tilnærming. I stedet for å fokusere på navnet til en spesifikk gruppe, bør vi fokusere på å forsvare oss mot taktikkene, teknikkene og prosedyrene (TTPs) de bruker – som sosial manipulering, misbruk av legitime verktøy og identitetstyveri. Disse TTP-ene vil bestå, selv om navnet på gruppen endres.

Lenke: https://www.securityweek.com/ (16. september 2025)

Akira-løsepengeviruset retter seg mot SonicWall VPN-enheter

En fersk rapport advarer om at Akira-gruppen, som er kjent for løsepengevirus, aktivt utnytter sårbarheter i SonicWalls VPN-løsninger for å få initiell tilgang til bedriftsnettverk.

Trusselaktøren bak Akira-løsepengeviruset har blitt observert i en rekke angrep der de spesifikt sikter seg inn mot bedrifter som bruker SonicWall Secure Mobile Access (SMA) gateways for fjerntilgang. Ved å utnytte kjente, men ofte upatchede, sårbarheter i disse enhetene, kan angriperne skaffe seg et fotfeste i bedriftens interne nettverk. Denne metoden er spesielt effektiv for angriperne, da den lar dem omgå det første forsvarslaget uten å måtte lure en ansatt med en phishing-e-post. Når de først er inne i nettverket, kan de bevege seg lateralt, eskalere sine privilegier og til slutt deployere løsepengeviruset for å kryptere filer og kreve løsepenger.

Hva så?

Mange norske bedrifter benytter VPN-løsninger som SonicWall for å gi ansatte sikker fjerntilgang. Denne saken viser at nettverksutstyr som er eksponert mot internett er verdifulle mål for angripere. Utstyr som brannmur og VPN må være korrekt konfigurert og bli kontinuerlig oppdatert. Saken viser også at disse gruppene både har brukerfokuserte angrep (phishing) og infrastrukturfokuserte angrep. Dette betyr at virksomhetene både må ha tiltak som retter seg mot brukerne, og mot de som drifter nettverksløsningene. En vanlig anbefaling er at multifaktor-autentisering (MFA) på all VPN-tilgang settes som et minimumskrav.

Lenke: https://thecyberwire.com/ (11. september 2025)

Microsoft tar ned hundrevis av phishing-nettsider

Microsoft har i en koordinert aksjon tatt kontroll over hundrevis av nettsteder som ble brukt i en omfattende phishing-kampanje kjent som "Raccoon0365", som spesifikt rettet seg mot brukere av skytjenester.

Aksjonen rammet en stor phishing-operasjon som har hatt som mål å stjele innloggingsinformasjon fra bedrifter og privatpersoner. Angriperne bak Raccoon0365 har brukt et nettverk av 340 nettsteder for å lure til seg brukernavn og passord, ofte ved å etterligne innloggingssider for kjente tjenester som Microsoft 365. Disse kampanjene er ofte første steg i større angrep, som løsepengevirus eller industrispionasje. Ved å ta kontroll over domenenavnene og den bakenforliggende infrastrukturen, har Microsofts Digital Crimes Unit forstyrret en omfattende kriminell operasjon. Aksjonen viser en mer proaktiv og aggressiv holdning fra teknologiselskapene i kampen mot cyberkriminalitet, der de ikke lenger bare varsler, men aktivt går inn for å ødelegge angripernes verktøy.

Hva så?

Norske bedrifter som benytter seg av Microsoft 365 og andre skytjenester er et konstant mål for slike angrep. Bedriftene må også gjøre sitt for å forhindre at slike angrep lykkes, for eksempel:

  • ha gode rutiner for å verifisere avsendere av e-post og lenker
  • multifaktorautentisering (MFA) som er et effektivt tiltak for å stoppe angripere selv om de skulle lykkes med å stjele et passord
  • opplæring av ansatte, slik at de gjenkjenner faresignalene i en e-post
  • vurdere tekniske løsninger som blokkerer tilgang til kjente ondsinnede nettsteder.

Kilde: https://blogs.microsoft.com/on-the-issues/2025/09/16/microsoft-seizes-338-websites-to-disrupt-rapidly-growing-raccoono365-phishing-service/ (16. september 2025)

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk