Din bogholders laptop. Sælgers mobil. IT-chefs hjemme-PC. Med gemte firmapasswords.
I januar blev én sådan enhed inficeret. 3 uger efter var et energiselskab ransomware-ramt.
4.000 km olierørledning kompromitteret
Conpet driver Rumæniens nationale olierørledningsnetværk. 4.000 km rør, der forsyner raffinaderier i hele landet.
I januar blev en IT-admins private PC inficeret med en infostealer. Et lille stykke malware, der stjæler alle gemte passwords fra browseren.
Computeren blev også brugt til en bibeskæftigelse. Samme PC, samme browser, samme gemte passwords.
Infostealeren høstede 268 logins fra computeren. Adgang til firmaets VPN, mailserver, netværksovervågning og opdateringsserver.
Det var nok.
De loggede ind. De brød ikke ind.
Ransomware-gruppen Qilin hackede sig ikke ind. De loggede ind.
3 uger fra infektion til kompromittering. Indgangen var en privat PC med gemte firmapasswords.
Via VPN fik de fodfæste. Via mailserveren kunne de læse intern kommunikation. Via overvågningen kortlagde de hele infrastrukturen. Og via opdateringsserveren kunne de distribuere ransomware til alle PC’ere, forklædt som en helt almindelig systemopdatering.
I februar bekræftede Conpet angrebet. Qilin hævder at have stjålet næsten 1 TB data, herunder finansielle dokumenter og paskopier.
Det handler ikke kun om Rumænien
Ifølge Verizon DBIR 2025 var 46% af enheder i infostealer-logs ustyrede enheder. Private PC’ere, telefoner og tablets, der ikke er under firmaets kontrol.
54% af alle ransomware-ofre havde credentials i infostealer-logs, allerede inden angrebet ramte.
Conpets credentials var tilgængelige dagen efter infektionen. Tre uger før angrebet. Tre uger, hvor nogen kunne have reageret.
BYOD er hverdag. Politikken mangler.
BYOD er hverdag i danske virksomheder. Medarbejdere logger ind på virksomhedens mail, CRM og fildeling fra private enheder. De færreste har en politik for det.
Ifølge Dansk Erhverv har danske mikrovirksomheder i gennemsnit kun forholdt sig til 2½ ud af 12 grundlæggende IT-sikkerhedsforanstaltninger. Adgangsstyring for private enheder er sjældent en af dem.
Problemet er ikke, at medarbejdere bruger private enheder. Problemet er, at ingen har besluttet, hvad der er tilladt.
Tre ting du bør gøre nu
Lav en klar politik for private enheder. Hvem må logge ind fra private computere og telefoner? På hvilke systemer? Med hvilken sikkerhed? Hvis politikken ikke findes, er svaret i praksis “alle, overalt, uden beskyttelse.”
Forbyd gemte firmapasswords i private browsere. Ét password gemt i Chrome på en privat laptop kan åbne jeres VPN, mail og kernesystemer, hvis maskinen inficeres. Kræv passwordmanager eller virksomhedsstyret browser.
Overvåg for lækkede credentials. Tjenester kan fortælle jer, om jeres domæne dukker op i infostealer-logs. Det er den tidligste advarsel, I kan få. Conpets credentials var tilgængelige tre uger før angrebet. Tre uger, ingen brugte.
Indgangen var ikke et zero-day
Hos Conpet blev hele forretnings-IT’en kompromitteret, og næsten 1 TB data stjålet.
Indgangen var ikke et avanceret zero-day-angreb. Det var ikke en sofistikeret hacker-operation.
Det var en privat PC med et gemt password.
Få styr på jeres BYOD-risiko
En cybersikkerhedsaudit afslører, om jeres organisation har en klar politik for private enheder, og om den bliver fulgt i praksis.
En teknisk sikkerhedsgennemgang kortlægger, hvilke systemer der kan tilgås fra ustyrede enheder, og om jeres credentials allerede cirkulerer i infostealer-logs.
Og en IT-sikkerhedspolitik sikrer, at I har klare regler for BYOD, password-håndtering og adgangsstyring, før det bliver et problem.
Conpets IT-admin havde et gemt password. Har jeres medarbejdere?
Har du brug for at vide, om jeres credentials allerede er på afveje? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
