Mängder av svenska företag i ny it-läcka

Att ett företags ip-adress finns med på listan betyder inte nödvändigtvis att de utsatts för angrepp, men att de varit sårbara för det och att informationen funnits på nätet för vem som helst att tillgå.

När informationen väl är känd krävs det inga stora it-kunskaper för att ta sig in på de här företagsnäten, säger Marcus Murray, it-säkerhetsexpert och grundare av företaget Trusec.

Listor läckte ut

Från början kommer informationen från en lista över sårbara vpn-servrar från leverantören Fortinet, som läckt ut på nätet.

Angripare har känt till sårbarheten och kartlagt vilka företag och organisationer som skulle vara lätta mål, och sedan försökt sälja informationen. I samband med det läckte listan över vpn-servrarna ut.

En sammanställning av listan som TT tagit del av visar att en mängd svenska företag och organisationer finns med. Bland dem Kristdemokraterna, Lunds universitet, Villaägarna, två vårdinrättningar, och en mängd svenska företag varav åtminstone ett är börsnoterat.

Hundratals miljoner

En person med tillgång till vpn-servern får åtkomst till ett företags interna nät och system, och kan därmed orsaka stor skada. Generellt sett är angriparna ute efter pengar, och kan få det på två sätt. Antingen genom att stjäla information och hota att publicera det på nätet om företaget inte betalar, eller genom att kryptera företagets datorer och ta betalt för att låsa upp dem.

Det senare tillvägagångssättet kallas ofta utpressningsvirus, eller ransomware.

För ett stort eller medelstort svenskt företag kan en ransomwareattack kosta mellan 50 och 300 miljoner kronor. Lösesummorna har också blivit väldigt höga, uppåt 150 miljoner kronor är inte ovanligt, säger Marcus Murray.

Uppdatera programmet

Grunden till luckan i it-säkerheten är en bugg i vpn-leverantören Fortinets system. Den upptäcktes redan 2018 och Fortinet har kommit med en uppdatering som löser problemet. Men många företaget har inte uppdaterat vpn-tjänsten, och är alltså fortfarande sårbara för angripare.

Marcus Murray anser att företagen och organisationerna genast bör täppa till luckan genom att uppdatera vpn-programmet och byta ut samtliga användarnamn och lösenord.

"Ger oss insikt"

Vissa företag och organisationer kan redan ha stängt till luckan, men att de varit sårbara för angripare under en period är allvarligt, enligt Marcus Murray.

Det som är intressant i det här fallet är att det är publik information som spridits på nätet. Vem som helst kan hitta de här vpn-servrarna och ip-adresserna. Det ger oss en insikt i vad svenska företag måste skydda sig mot, säger han.

Totalt sett omfattar listan 58 000 ip-adresser, varav 221 går att koppla till Sverige. Utöver det kan fler svenska företag, med ip-adresser i utlandet, förekomma.