Atea IRT: Lärdomar från cyberangrepp mot nordiska verksamheter

– Vi ser samma mönster hela tiden: det är de grundläggande säkerhetsbristerna som utnyttjas. Det är inte komplexa zero-day-attacker som drabbar flest företag. Det är incidenter som bottnar i brister vi redan borde ha kontroll över, säger Vegard Kjerstad, chef för Ateas nordiska Incident Response Team som arbetar med incidenthantering. 

År 2025 utgjorde tre klassiska attacktyper det största hotet mot verksamheter: AiTM, Internetexponerade tjänster och infostealers. När de slår till kan det leda till allvarliga intrång, långvariga driftstopp och kostsamma återställningsinsatser.

IRT: I frontlinjen när en attack träffar

Ateas IR-team är först på plats när något går fel. Teamet hanterar allt från korta ärenden som kan lösas på några timmar till allvarliga incidenter som kan pågå i veckor.

När en ny attacktyp dyker upp använder teamet sin erfarenhet och nordiska räckvidd för att snabbt leta efter samma indikatorer hos andra verksamheter. På så sätt blir ett ärende till kunskap som skyddar många, i hela Norden.

Under 2025 hanterade teamet totalt 343 säkerhetsincidenter, och tre specifika attacktyper stod bakom majoriteten:

1. AiTM-phishing: Angriparen i mitten

AiTM (Adversary-in-the-Middle) är en avancerad form av phishing där angriparen placerar sig mellan användaren och en legitim webbplats för att fånga upp känsliga data som inloggningsuppgifter och session cookies. Angriparen kan kapa sessionen och få åtkomst till system även när företaget har implementerat multifaktorautentisering (MFA). Företag behöver ha strikt åtkomstkontroll och phishing-resistent MFA. Konsekvensen är att ett enda komprometterat konto kan bli vägen in i hela organisationens digitala miljö.

2. Exponerade system och fjärråtkomst utan MFA

Internetexponerade tjänster som brandväggar, webbapplikationer och VPN-lösningar utan MFA är sårbara och starkt utsatta. Företag behöver ha kontroll över vilka system som exponeras, hålla dem uppdaterade och se till att de skyddas med rätt säkerhetslager.

3. Infostealers

Infostealers är en typ av skadlig kod som användare manipuleras att ladda ner. Den stjäl känslig information som lösenord, webbläsarcookies och sparade inloggningsuppgifter. Denna data kan användas direkt av angripare eller säljas vidare för att få åtkomst till företags olika system och data.

Vad utmärker motståndskraftiga företag?

– Den största risken är när organisationer inte tar det grundläggande säkerhetsarbetet på allvar. De flesta attacker hade kunnat undvikas om rätt förberedelser och skydd hade funnits på plats, förklarar Vegard Kjerstad.

Företagen som undviker attacker, eller klarar dem bäst, har fyra saker gemensamt:

Planer och beredskap har flyttats från papper till praktik
Nyckelpersoner vet vem de ska kontakta när något verkar fel. De har övat på sina kontinuitets- och incidenthanteringsplaner, inte bara skrivit dem. Roller och ansvar har testats i realistiska scenarier så ingen behöver uppfinna processer mitt i en kris. Och människor och system övervakar aktivt så attacker upptäcks tidigt.De känner till sina svagheter
De vet vilka system som är sårbara, vilka som är exponerade mot internet och vem som ansvarar för varje system. När en ny sårbarhet upptäcks kan de snabbt avgöra om de påverkas och vad de måste göra härnäst.De skyddar identiteter – inte bara nätverk
Multifaktorautentisering är en grundprincip, särskilt för fjärråtkomst och privilegierade konton. Tydliga regler styr var och hur användare får logga in, och dessa regler efterlevs konsekvent.De litar på magkänslan – och använder extern expertis
För de flesta organisationer är det inte rimligt att bygga helt intern incidenthanteringsförmåga. En intern funktion hanterar incidenter undantagsvis, medan ett specialiserat IR-team hanterar nya fall dagligen över branscher och länder. Det gör dem bättre rustade att hitta mönster och agera snabbt och effektivt.

– Om du har en dålig känsla, kontakta experter och få det kontrollerat. Med ett IR-avtal på plats är vi alltid tillgängliga, även för snabba kontroller sent på kvällen. Utan stöd från ett incidenthanteringsteam bör du se över dina planer och förmågor för att säkerställa att risken är acceptabel för ditt företag, säger Vegard Kjerstad.

I praktiken innebär ett partnerskap med ett IR-team tillgång till en pool av dedikerade resurser som känner din miljö på djupet – redo att agera när något händer. Din IR-partner kan också dra nytta av erfarenheter från hundratals ärenden i Norden för att undvika, förhindra eller stoppa attacker snabbt samt begränsa skador och ta de första stegen mot återhämtning.