Hantera utpressningsangrepp (ransomware) och nätfiske (phishing)

I takt med att flera svenska verksamheter har drabbats av utpressningsangrepp i egna eller underleverantörers system vill vi informera om våra råd och rekommendationer gällande ämnet. Det förebyggande säkerhetsarbetet är avgörande för vilken motståndskraft en organisation har för att kunna hantera ett utpressningsangrepp. Nedan följer översiktliga rekommendationer om vad som kan göras, för att både förebygga och hantera den här typen av angrepp.

Uppdatering 2025-09-17

Då ett större antal verksamheter just nu är drabbade av att stulna person- och kontaktuppgifter blivit publicerade och allmänt tillgängliga, vill vi lyfta fram våra konkreta råd för att stärka skyddet mot nätfiskeangrepp.

1. Inför multifaktorautentisering (MFA) och en genomtänkt lösenordspolicy för alla medarbetare. Överväg även phishing resistant MFA för det mer skyddsvärda.

2. Informera medarbetare om cyberhygien gällande nätfiske, till exempel genom att:
   • vara vaksamma på e-post från okända och/eller externa avsändare
   • titta på avsändaradressen och inte bara namnet i misstänkt e-post
   • skyndsamt rapportera om de misstänker att de mottagit nätfiskemeddelanden och om de i misstänkt e-post tex. klickat på bilagor, länkar, skannat QR-koder, uppgett känsliga uppgifter, osv.
   • vara vaksamma även gällande kontakt via samtal och sms där det efterfrågas känsliga uppgifter som t ex inloggningsuppgifter

3. Underlätta för medarbetare genom att markera e-post som kommer från externa avsändare. Då blir det enklare att vara extra vaksam och tydligt om ett internt mejlkonto spoofas (olovligen används som avsändare för att verka legitim).

4. Har någon inom er organisation drabbats av nätfiske rekommenderar vi att gå igenom konfigurationen av kontot för att säkerställa att det inte har eller kan missbrukas.

5. Polisanmäl försök till nätfiske.

Se även råd hos NCSC-SE: https://www.ncsc.se/sv/aktuellt/rekommendationer-vid-intrang-och-informationslackage/

Vid pågående utpressningsangrepp

• Ett viktigt första steg i incidenthanteringen att identifiera vad som hänt och vilka system som är påverkade, för att därefter kunna börja vidta skadebegränsande åtgärder. Se CERT-SE:s incidenthanteringsprocess.
• Ta hjälp av experter på området om inte rätt kompetens finns tillgänglig.
• Isolera påverkade enheter/konton och revokera aktiva sessioner.
• Undersöka förekomst av befintlig avkrypterare [1].
• Betala aldrig lösensumma. Det finns inga garantier att system återställs, att filer dekrypteras eller att angriparen inte återkommer med nya krav och hot.
• Anmäl händelsen i ett tidigt skede, tex. till Polisen och IMY. Incidentrapportera också till lämpliga myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet.
• Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fått fotfäste it-miljön genom till exempel behörigheter och/eller skadlig kod.
• Innan återställning genomförs med säkerhetskopior, säkerställ att kopiorna inte också är påverkade av angreppet.
• Ta kontakt med CERT-SE för råd och stöd.

Jobba för en god säkerhetsmedvetenhet

En vanlig ingångsvektor för utpressningsangrepp är nätfiske, då det är en effektiv metod för angripare att tillskansa sig obehörig åtkomst till system och känslig information. Att informera och utbilda organisationens användare om förekomsten av olika typer av nätfiske kan därför vara ett sätt att skydda sin organisation. Utbilda dem i att göra en rimlighetsbedömning innan de klickar på länkar eller bifogade filer i ett e-postmeddelande.

Skapa tydlighet genom att upprätta en kommunikationsplan

Data som på olika sätt exponerats för obehöriga, särskilt i antagonistiskt syfte, är bäst att betrakta som förlorad, då man sällan kan bedöma hur informationen kan komma att användas i ett nästa steg. För att mildra konsekvenserna och skapa tydlighet är det därför viktigt att kommunicera externt, i synnerhet till de drabbade, om situationen.

Tänk igenom kommunikationsbehoven. Vilka behöver nås av information, när och hur ofta? Utse en person som ansvarar för informationsdelning och vid behov en talesperson. Kommunicera tidigt, tydligt och endast fakta — detta motverkar spekulationer som kan störa incidenthanteringen.

Försvåra angrepp med förebyggande arbete

Organisationer behöver på förhand skapa sig en uppfattning om vilka konsekvenser den här typen av angrepp skulle kunna få för verksamheten, för att på bästa sätt bygga, anpassa och underhålla sitt skydd.

Grunden för att skydda sig mot cyberangrepp, (inkl. utpressningsangrepp) är att bedriva ett systematiskt arbete med informations- och cybersäkerhet. I arbetet inkluderas att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker.

Få stöd från CERT-SE

Kontakta oss på cert@cert.se eller 010-240 40 40 för att få stöd om ni är drabbade. CERT-SE tar gärna emot tekniska data och underlag från verksamheter som drabbats.

CERT-SE uppmanar alla svenska verksamheter att dela med sig av information om avvikelser och incidenter i sina it-miljöer för att få stöd, och för att bidra till att varna andra.

Mer information

• Utpressningsangrepp - temafördjupning från NCSC: https://www.ncsc.se/siteassets/publikationer/utpressningsangrepp---temafordjupning.pdf (PDF)

• Finska cybersäkerhetscentret har publicerat en vägledning som riktar sig till ledningen och beslutsfattare i organisationer som beskriver hur de bör agera vid angrepp med utpressningsprogram, Åtgärder vid angrepp med utpressningsprogram – ledningens anvisningar (PDF).

• Hantera utpressningsangrepp (ransomware): https://www.cert.se/tema/ransomware/

• Hantera nätfiske (phishing): https://www.cert.se/tema/natfiske/

Källor

[1] https://www.nomoreransom.org/