Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 47

19. nov 2025
Lesetid: 4 min

Denne ukens nyhetsbrev ser på det målrettede russiske cyberangrepet mot Flyktninghjelpen og risikoen ved "skygge-IT" etter et brudd hos Visma. I tillegg presenteres en ny tilnærming til sikkerhetskultur gjennom historiefortelling, Checkout.coms ukonvensjonelle respons på et løsepengekrav, og Microsofts stansing av et rekordstort DDoS-angrep.

Flyktningehjelpen utsatt for russisk cyberangrep

Flyktninghjelpen bekrefter at de nylig ble utsatt for et målrettet cyberangrep som knyttes til russiske aktører. Angrepet ble oppdaget og avverget uten at sensitive data kom på avveie.

Finansavisen rapporterte 17. november at Flyktninghjelpen (NRC) har vært mål for et sofistikert angrep. Angrepet beskrives som et "spearphishing"-forsøk, hvor angriperne skreddersydde e-poster for å lure ansatte til å gi fra seg tilgang. Forsker Eskil Grendahl Sivertsen ved Forsvarets forskningsinstitutt (FFI) uttaler at logikken bak slike angrep ofte er å svekke humanitære organisasjoners evne til å bistå i konfliktområder, som Ukraina, for dermed å påvirke motstandsviljen. Angrepet kobles til en bredere trend hvor hjelpeorganisasjoner blir strategiske mål i hybrid krigføring. Flyktninghjelpen har gode rutiner som fanget opp forsøket, og ingen systemer ble kompromittert.

Hva så?

For norske bedrifter, spesielt de med internasjonal tilstedeværelse eller roller som kan ha geopolitisk betydning, er dette en påminnelse om at dere er legitime mål for statlige aktører. Trusselbildet handler ikke bare om økonomisk vinningskriminalitet, men også om destabilisering og hybrid krigføring. For å motstå slike angrep er det viktig med årvåkne ansatte og robuste varslingsrutiner. Teknologi alene stopper ikke skreddersydd sosial manipulering.

Lenke: https://www.finansavisen.no/samfunn/2025/11/17/8307775/norsk-organisasjon-utsatt-for-russisk-cyberangrep (Publisert: 17.11.2025)

Visma-server hacket og misbrukt til kryptomining

En server hos programvaregiganten Visma sto ubeskyttet og ble utnyttet av kriminelle til utvinning av kryptovaluta i halvannet år før det ble oppdaget.

Kode24 meldte 12. november om et sikkerhetsbrudd hos Visma, hvor en server som ikke var underlagt selskapets sentrale sikkerhetsovervåkning ble kompromittert. Serveren ble brukt til såkalt "cryptojacking", hvor angriperne utnytter regnekraften til å utvinne Bitcoin. Aktiviteten pågikk i cirka 18 måneder uten å bli oppdaget. Visma har forklart at serveren var en del av en "skygge-IT"-infrastruktur som falt utenfor deres standardiserte kontrollregimer. Selskapet understreker at ingen kundedata har kommet på avveie, og at hendelsen har ført til en gjennomgang av rutiner for å fange opp uautorisert maskinvare og systemer.

Hva så?

Dette er et klassisk eksempel på risikoen ved "skygge-IT", systemer som opprettes på siden av IT-avdelingens kontroll. Det er også en påminnelse om at du kan ikke sikre det du ikke vet om, og at selv store teknologiselskaper sliter med full oversikt. En fullstendig og oppdatert oversikt over alle digitale eiendeler (asset management) er et grunnlag for et godt sikkerhetsarbeid.

Lenke: https://www.kode24.no/artikkel/visma-server-hacket-brukt-til-bitcoin-i-halvannet-ar/249200 (Publisert: 12.11.2025)

Historiefortelling som forsvar mot dataangrep

En ny kronikk fra NTNU-forskere og Secure Practice argumenterer for at gode historier er et undervurdert verktøy for å bygge sikkerhetskultur i norske virksomheter.

I en artikkel publisert 17. november trekker forfatterne frem at tradisjonell sikkerhetsopplæring ofte preges av tørre fakta og forbud, noe som kan virke mot sin hensikt. Ved å bruke historiefortelling (storytelling) kan virksomheter skape emosjonelle knagger som gjør det lettere for ansatte å huske og forstå trusler. Forfatterne peker på at når ansatte forstår «hvorfor» gjennom gjenkjennbare situasjoner, øker sannsynligheten for at de følger rutiner. Dette knyttes til forskningsprosjekter som viser at engasjerende narrativer fungerer bedre enn ren regelinstruks for å endre adferd over tid.

Hva så?

Mange norske bedrifter sliter med "security fatigue", at ansatte blir lei av sikkerhetsmas. Å endre kommunikasjonsform fra instruks til historie kan være et rimelig og effektivt tiltak. Vurder å bruke virkelige hendelser (som Flyktninghjelpen-saken over) aktivt i internkommunikasjonen for å skape relevans, fremfor bare å sende ut nye policy-dokumenter.

Lenke: https://www.regionaleforskningsfond.no/trondelag/om-rff-trondelag/nyheter/2025/secure-practice/ (Publisert: 17.11.2025)

Checkout.com nekter å betale etter løsepengeangrep

Betalingsformidleren Checkout.com ble utsatt for et datainnbrudd, men valgte en utradisjonell strategi: De donerte løsepengekravet til veldedighet i stedet for å betale de kriminelle.

Checkout.com bekreftet 14. november at hackergruppen ShinyHunters hadde fått tilgang til et eldre lagringssystem med informasjon om forhandlere. Da hackerne krevde løsepenger for ikke å lekke dataene, nektet selskapet å gå i dialog. I stedet annonserte de at de ville donere summen hackerne krevde til organisasjoner som bekjemper cyberkriminalitet. Selskapet var åpne om at bruddet skyldtes et system som ikke var korrekt avviklet, men understreket at betalingsplattformen var uberørt.

Hva så?

Denne saken viser at vi kan tenke nytt om krisehåndtering. Norske bedrifter kan merke seg at åpenhet og en prinsipiell holdning kan snu en negativ hendelse til positiv omdømmebygging. Det sender også et signal til trusselaktører om at utpressing ikke lønner seg. Diskuter på ledernivå: Har vi ryggrad og likviditet til å stå imot et slikt krav?

Lenke: https://www.securityweek.com/checkout-com-discloses-data-breach-after-extortion-attempt/ (Publisert: 14.11.2025)

Rekordstort DDoS-angrep stanset av Microsoft

Microsoft har offentliggjort detaljer om et rekordstort tjenestenektangrep (DDoS) som ble drevet av et botnet bestående av kompromitterte hjemmerutere og IoT-enheter.

I en rapport beskriver Microsoft hvordan de stanset et angrep på over 15 terabit per sekund. Angrepet ble utført av botnettet "AISURU", som primært består av dårlig sikrede forbrukerelektronikk-enheter. Angrepet var rettet mot Azure-infrastruktur, men ble stanset av Microsofts beskyttelsessystemer. Hendelsen viser at kapasiteten til moderne botnett fortsetter å vokse, og at angripere stadig finner nye måter å gjøre usikre "smarte" dingser til våpen.

Hva så?

Selv om dette angrepet ble stanset, viser det hvilke enorme krefter som kan rettes mot en enkelt bedrift. For norske virksomheter som er kritiske for samfunnet, er dette en påminnelse om at man må ha robuste DDoS-beskyttelsesavtaler på plass hos sin internettleverandør. Et angrep av denne størrelsen vil senke nær sagt en hvilken som helst norsk datasentral uten spesialisert beskyttelse.

Lenke: https://www.bleepingcomputer.com/news/microsoft/microsoft-aisuru-botnet-used-500-000-ips-in-15-tbps-azure-ddos-attack/ (Publisert: 17.11.2025)

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk