Sikkerhedssoftwaren kørte på alle computere. Firewallen var opdateret. Antivirus var aktiv. Så begyndte filerne at forsvinde. Angrebet kom fra virksomhedens eget overvågningskamera.
Et kamera blev indgangen
Sagen blev dokumenteret af cybersikkerhedsfirmaet S-RM i marts 2025. Ransomware-gruppen Akira fik først adgang til en virksomheds netværk via en kompromitteret fjernadgangsløsning. Sikkerhedssoftwaren på de beskyttede computere blokerede angrebet. Men angriberne gav ikke op. De scannede netværket og fandt et IP-overvågningskamera. Det kørte Linux. Det havde ingen sikkerhedssoftware. Og det havde adgang til virksomhedens fildelinger.
Fra kameraet krypterede de filer på tværs af hele netværket via SMB-protokollen, som bruges til fildeling mellem enheder. Sikkerhedssoftwaren på de øvrige maskiner registrerede, at filerne ændrede sig, men kunne ikke identificere kilden. Der var ingen skadelig proces at stoppe, fordi angrebet kom fra en enhed, som sikkerhedssystemet slet ikke kendte til.
86 procent af alle ransomware-angreb bruger nu denne teknik
Teknikken hedder remote encryption. I stedet for at installere skadelig software på hver enkelt computer finder angriberne én ubeskyttet enhed på netværket og bruger den som udgangspunkt for at kryptere alt, den kan nå. En gammel printer, en testserver, et smart-TV, en konsulents bærbare.
Ifølge ThreatDown/Malwarebytes’ State of Malware-rapport fra februar 2026 blev remote encryption brugt i 86 procent af alle ransomware-angreb i 2025. Angriberne lancerede kryptering fra ustyrede enheder og blinde vinkler i netværket, så sikkerhedsteams stod uden en skadelig proces at sætte i karantæne.
Microsofts Digital Defense Report fra 2024 underbygger billedet. Over 90 procent af succesfulde ransomware-angreb, der nåede krypteringsfasen, startede fra ustyrede enheder, enten som indledende adgang eller som udgangspunkt for remote encryption. I en anden dokumenteret sag fik Akira adgang via en leverandørkonto, som aldrig var blevet deaktiveret, og lancerede angrebet fra en ubeskyttet server midt om natten.
Danske virksomheder har blinde vinkler
Ifølge en rapport fra Styrelsen for Samfundssikkerhed har 40 procent af danske SMV’er et cybersikkerhedsniveau, der ikke matcher deres risikoprofil. Danmarks Statistik viser, at kun 69 procent af de små virksomheder med 5-9 ansatte beskytter deres netværk med adgangskontrol. Og 15 procent af SMV’erne undlader basale tiltag som backup og systemopdateringer.
Det betyder, at mange danske virksomheder har enheder på netværket, som ingen overvåger. Printere, kameraer, IoT-sensorer, testservere, gamle routere. Det er præcis de enheder, angriberne leder efter. Ikke fordi de er værdifulde i sig selv, men fordi de er forbundet til alt det, der er.
Tre ting I kan gøre nu
Lav en komplet enhedsoversigt. Kortlæg alle enheder med netværksadgang, også printere, kameraer, IoT-enheder og testservere. Hvis en enhed kan nå jeres fildelinger uden sikkerhedssoftware, er den en åben dør. Mange virksomheder kender antallet af computere, men har aldrig talt alt det andet.
Segmentér jeres netværk. Sørg for, at overvågningskameraer, smart-enheder og gæsteudstyr ikke har adgang til de samme netværksressourcer som jeres servere og arbejdsstationer. I Akira-sagen kunne kameraet nå virksomhedens fildelinger direkte. Netværkssegmentering ville have begrænset skaden til det isolerede segment.
Ryd op i konti. Deaktiver alle konti for tidligere leverandører og medarbejdere. I en af Akiras dokumenterede sager åbnede én glemt leverandørkonto hele netværket. En penetrationstest kan afdække præcis den type glemte adgange, som angriberne udnytter.
Jeres sikkerhedssoftware beskytter kun de enheder, den kender til
Akira-sagen er et eksempel på, at god sikkerhedssoftware ikke er nok i sig selv. Virksomheden havde EDR-beskyttelse, og den virkede. Den stoppede angrebet på de beskyttede computere. Men den kendte ikke til kameraet. Og det var alt, angriberne behøvede.
En uvildig cybersikkerhedsaudit kigger ikke kun på de systemer, I ved, I har. Den kigger på alt det, I har glemt, I har. De enheder ingen overvåger, de konti ingen har lukket, de netværksveje ingen har testet.
Hvornår fik I sidst en uvildig gennemgang af alle enheder på jeres netværk, ikke bare dem med sikkerhedssoftware?
Har du brug for en uvildig vurdering af jeres netværkssikkerhed og angrebsflade? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
