Næringslivets
sikkerhets-
råd
Meny

Ukesnytt digital sikkerhet - Uke 51

17. des 2025
Lesetid: 5 min

Denne uken preges av både skjerpede sikkerhetskrav og nye, sofistikerte angrepsmetoder. Amerikanske CISA lanserer nå en veileder som gjør cybersikkerhet til en absolutt forutsetning for offentlig støtte, med mål om å tvinge frem «secure by design». Samtidig varsler advokatfirmaet Føyen om at styreansvaret i norske bedrifter skjerpes betraktelig med inntoget av NIS2 og Cyber Resilience Act i 2025.

På den tekniske siden ser vi en oppblomstring av «ClickFix»-angrep som kreativt utnytter den gamle Windows-kommandoen finger.exe , samt en kritisk sårbarhet i React-biblioteket som krever umiddelbar handling fra utviklingsavdelingene. Vi avslutter likevel med et sjeldent lyspunkt: En amatørmessig feil hos skaperne av løsepengeviruset «VolkLocker» gjør at ofre nå kan få tilbake filene sine gratis.

Dette er siste ukesnytt fra NSR Beredskapsenter i 2025. Vi ønsker alle en god jul og godt nyttår.

Cisa og ONCD lanserer veileder for cybersikkerhet i tilskuddsordninger

Amerikanske CISA (Cybersecurity and Infrastructure Security Agency) og ONCD har utgitt en ny "playbook". Denne retter seg mot hvordan cybersikkerhet skal integreres som et krav i føderale tilskuddsordninger og infrastrukturprosjekter.

Dokumentet, som ble lansert 17. desember, er en strategisk veileder for hvordan myndigheter skal sikre at penger som deles ut til infrastrukturprosjekter ikke går til usikre systemer. "Playbook for Strengthening Cybersecurity in Federal Grant Programs" slår fast at cybersikkerhet ikke er en "add-on", men en forutsetning for finansiering. Den gir konkrete råd om hvordan krav til sikkerhet skal formuleres i utlysninger, og hvordan etterlevelse skal kontrolleres. Målet er å tvinge frem en "secure by design"-tankegang hos alle som mottar offentlig støtte, enten det er til vannverk, strømnett eller transport.

Hva så?

Selv om dette er et amerikansk dokument, bør norske myndigheter la seg inspirere. Offentile anbud bør bruke sikkerhet og beredskap som et tildelingskriterie, for å stimulere til en økt sikkerhet for samfunnet. Norske bedrifter bør forberede seg på at fremtidige statlige støtteordninger eller anbud i økende grad kan ha eksplisitte krav til innebygd sikkerhet.

Lenke: https://www.cisa.gov/news-events/alerts/2024/12/17/cisa-and-oncd-release-playbook-strengthening-cybersecurity-federal-grant-programs-critical (Publisert: 17. desember 2024)

Ny "Clickfix"-kampanje utnytter windows-kommandoen finger.exe

Sikkerhetsforskere advarer om en ny, sofistikert phishing-teknikk som lurer brukere til å kjøre ondsinnede kommandoer via utklippstavlen. Kampanjen misbruker et gammelt verktøy som finnes i de fleste Windows-installasjoner.

En ny bølge av angrep, døpt "ClickFix", bruker falske feilmeldinger i nettleseren (f.eks. "Word mangler en font" eller "Google Meet har problemer") for å lure ofre. Brukeren blir bedt om å kopiere en "løsning" til utklippstavlen og lime den inn i Windows PowerShell eller "Kjør"-vinduet. Det brukeren ikke ser, er at koden utnytter den gamle kommandoen finger.exe til å laste ned skadevare usett. finger.exe er et legitimt nettverksverktøy som sjelden brukes i dag, men som ofte tillates gjennom brannmurer fordi det er en del av operativsystemet.

Hva så?

Dette er sosial manipulasjon som omgår mange tekniske sperrer fordi brukeren selv utfører handlingen. Norske bedrifter bør vurdere å blokkere utgående trafikk fra finger.exe i brannmuren eller bruke "AppLocker" til å hindre verktøyet i å kjøre.

Lenke til saken: https://www.bleepingcomputer.com/news/security/decades-old-finger-protocol-abused-in-clickfix-malware-attacks/ (Publisert: 15. desember 2025)

Teknologiåret 2025: nye lovkrav treffer norske bedrifter

Advokatfirmaet Føyen har publisert en gjennomgang av det juridiske landskapet for teknologi og sikkerhet i 2025. Nye EU-direktiver treffer nå norsk lovgivning med full tyngde.

I en oppdatering publisert 16. desember oppsummerer Føyen de viktigste regulatoriske endringene som norske virksomheter må forholde seg til. Fokus er på implementeringen av NIS2-direktivet og Cyber Resilience Act (CRA), som nå begynner å få reelle konsekvenser for norske selskaper gjennom EØS-avtalen. Artikkelen belyser hvordan kravene til digital motstandsdyktighet skjerpes, ikke bare for kritisk infrastruktur, men for hele leverandørkjeden. Det stilles strengere krav til rapportering av hendelser, risikostyring og sikkerhet i programvareutvikling. En viktig del av analysen er hvordan styreansvaret skjerpes; ledelsen kan nå holdes personlig ansvarlig hvis virksomheten ikke etterlever sikkerhetskravene. Dette markerer et skifte fra at sikkerhet er et «IT-problem» til å bli et sentralt juridisk og strategisk ansvar.

Hva så?

Dette er saken du skal sende videre til din juridiske avdeling og til styret. Mange norske bedrifter har ventet med å ta tak i NIS2-kravene, men nå renner tiden ut. Analysen fra Føyen viser at innføringen av disse reglene vil kreve dokumentasjon og prosesser som tar tid å etablere. For leverandører til offentlig sektor eller større industrikonsern kan manglende etterlevelse snart bety at dere blir diskvalifisert fra anbudskonkurranser. Det mest kritiske her er å kartlegge hvilke forpliktelser din bedrift har. Er dere en «vesentlig» eller «viktig» enhet etter loven? Svaret på det spørsmålet dikterer budsjettet for sikkerhet i 2026.

Lenke: https://foyen.no/aktuelt/teknologiaret-2025/ (Publisert: 16. desember 2025)

React2shell-sårbarheten eskalerer: Microsoft slipper mottiltak

En alvorlig sårbarhet i det populære React-biblioteket har fått navnet «React2Shell». Utnyttelsen sprer seg raskt, og Microsoft har nå publisert spesifikke mottiltak for å beskytte Windows-miljøer.

Sikkerhetsmiljøet er i høygir etter oppdagelsen av CVE-2025-55182, døpt «React2Shell». Sårbarheten rammer applikasjoner bygget på React, et av verdens mest brukte rammeverk for webutvikling. Den 16. desember publiserte Microsoft en teknisk analyse og verktøy for å oppdage og blokkere angrep som utnytter denne feilen. Sårbarheten gjør det mulig for angripere å injisere ondsinnet kode direkte inn i servere som kjører sårbare versjoner av React. Angrepene har økt i omfang de siste dagene, og trusselaktører bruker nå automatiserte skannere for å finne og kompromittere nettsteder globalt. Microsofts veiledning er essensiell for bedrifter som kjører Windows-baserte servere med moderne webapplikasjoner.

Hva så?

Dette treffer utviklingsavdelingene i norske bedrifter. React er en mye brukt standard for moderne webutvikling i Norge. Utfordringen er at sårbarheten ligger i biblioteket som applikasjonen er bygget på, noe som betyr at man må oppdatere selve kildekoden og rulle ut applikasjonen på nytt. Dette er ikke en enkel «Windows Update». CTO-er og utviklingssjefer må umiddelbart scanne sine kodebaser for å se om de bruker sårbare versjoner. I mellomtiden bør man implementere brannmurregler som kan blokkere de spesifikke angrepsmønstrene Microsoft beskriver.

Lenke: https://thehackernews.com/2025/12/react2shell-exploitation-escalates-into.html (Publisert: 16. desember 2025)

Gratis dekrypteringsnøkkel funnet for "Volklocker"-ransomware

En sjelden gladnyhet i kampen mot løsepengevirus: Sikkerhetsforskere har funnet en feil i skadevaren «VolkLocker» som gjør det mulig for ofre å få tilbake filene sine gratis.

Den 15. desember avslørte The Hacker News at ransomware-gruppen bak «VolkLocker» har gjort en amatørmessig feil. I koden til skadevaren lå det en hardkodet «master key» som kunne brukes til å låse opp krypterte filer. Dette betyr at bedrifter som har blitt rammet av denne spesifikke varianten, nå kan dekryptere dataene sine uten å betale løsepenger til de kriminelle. Funnet demonstrerer at selv om de kriminelle blir mer profesjonelle, gjør de fortsatt tabber. Sikkerhetsforskere jobber nå med å distribuere et gratis verktøy basert på denne nøkkelen.

Hva så?

Hvis din bedrift eller noen i deres nettverk nylig er blitt rammet av løsepengevirus, er det viktig å identifisere hvilken variant det er snakk. Denne saken er en påminnelse om viktigheten av å ikke slette krypterte data umiddelbart, selv om backup mangler. Ta vare på de krypterte diskene; en løsning kan dukke opp uker eller måneder senere, slik som her. For norske bedrifter understreker dette også verdien av å kontakte politiet og NSM ved hendelser, da de kan sitte på informasjon om tilgjengelige dekrypteringsverktøy som ikke er allment kjent.

Lenke: https://thehackernews.com/2025/12/volklocker-ransomware-exposed-by-hard.html (Publisering: 15. desember 2025)

Bjarte Malmedal NSR

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 990 94 838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk