Din medarbejder logger på VPN hjemmefra. Routeren hjemme er gammel og er aldrig blevet opdateret. I går blev den brugt til banksvindel for fem millioner kroner.
Nu sender den din medarbejders login videre.
369.000 routere i 163 lande
Det er ikke science fiction.
I onsdags gennemførte Europol og FBI en koordineret aktion mod en kriminel tjeneste, der havde inficeret 369.000 routere i 163 lande med malware.
Tjenesten solgte adgang til routerne, så kriminelle kunne sende deres internettrafik gennem helt almindelige hjemmeadresser. Banksvindel, identitetstyveri, ransomware. Alt sammen forklædt som normal trafik fra en stue i forstaden.
Ejerne mærkede intet
Malwaren overskrev routerens firmware permanent og slukkede for opdateringsfunktionen.
Ejerne mærkede intet. Routeren fungerede som den plejede.
Men i baggrunden blev den brugt som springbræt for kriminalitet i industriel skala.
124.000 betalende kunder
Myndighederne oplyser, at tjenesten havde 124.000 betalende kunder.
Europol anslår, at betalingsplatformen modtog over 37 millioner kroner fra dem.
1,2 millioner arbejder hjemmefra
Og her bliver det relevant for din virksomhed.
41% af danske lønmodtagere arbejder hjemmefra mindst én gang om måneden ifølge Danmarks Statistik. Det er 1,2 millioner mennesker.
Hybridarbejde og hjemmearbejde er ikke undtagelser. Det er normen.
48% af ransomware starter med VPN
Samtidig viser en sikkerhedsrapport, at 48% af alle ransomware-angreb i tredje kvartal 2025 startede med stjålne VPN-loginoplysninger.
En kompromitteret hjemmerouter kan manipulere internettrafik, inden VPN-forbindelsen overhovedet er etableret.
1.200 routermodeller ramt
Malwaren ramte 1.200 forskellige routermodeller fra syv producenter. Det er de mærker, der står i danske hjem og kontorer.
Og selv efter myndighedernes aktion er de inficerede routere stadig kompromitterede.
Aktionen fjernede tjenesten. Ikke malwaren fra hardwaren.
Fem ting du kan gøre i morgen
Find ud af, hvad dine medarbejdere bruger derhjemme. Hvor gammel er routeren? Hvornår fik den sidst en opdatering? Er standardpasswordet ændret? Hvis ingen kan svare, har I et problem.
Kræv MFA på al fjernadgang. Halvdelen af ransomware-angreb starter med stjålne VPN-credentials. MFA er ikke valgfrit. Konti uden MFA skal have kompenserende kontroller.
Overvej virksomhedsejede routere til nøglemedarbejdere. Hvis din økonomichef eller direktør arbejder hjemmefra to dage om ugen via en router fra 2019, er det en forretningsrisiko, ikke et privat anliggende.
Slå fjernadministration fra på routeren. De fleste har den tændt fra fabrikken. Det var den åbne dør, malwaren brugte.
Segmentér hjemmenetværket. Arbejds-PC på ét netværk, smart-TV og IoT på et andet. Det begrænser skaden, hvis én enhed kompromitteres.
Sikkerhedsperimeteren er flyttet
Jeres IT-sikkerhed stopper ikke ved kontorets hoveddør. Den stopper ved routeren i stuen derhjemme.
Og den router ved I sandsynligvis intet om.
Få tjekket jeres fjernadgangssikkerhed
En teknisk sikkerhedsgennemgang kortlægger, hvordan jeres medarbejdere forbinder sig hjemmefra, og om jeres VPN-opsætning er sikret mod stjålne credentials.
Et leverandøraudit afslører, om jeres IT-leverandør har styr på MFA og fjernadgang, eller om I har blinde vinkler i stuen derhjemme hos medarbejderne.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv den perimeter, der nu strækker sig ud i private hjem.
369.000 routere. 124.000 kunder. 48% af ransomware. Hvad ved I om routeren i stuen?
Har du brug for at få tjekket jeres fjernadgangssikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
