Den 28. januar 2026 gav en ny russisk hackeralliance Danmark 48 timer: Afvis 1,5 milliarder i Ukraine-hjælp, ellers skifter vi fra DDoS til rigtige cyberangreb. Dagen før havde de lagt sundhed.dk ned.
Fire grupper under én kommando
Alliancen kalder sig Russian Legion. Fire pro-russiske hackergrupper, Cardinal, The White Pulse, Russian Partizan og Inteid, der den 27. januar 2026 slog sig sammen under én kommando. Og de beviste det med det samme.
Allerede den 25. januar havde Inteid lagt sundhed.dk ned i flere timer med et overbelastningsangreb. Borgere, der ville tjekke prøvesvar eller tilgå sundhedsjournaler, blev mødt af sort skærm. Sundhedsportalen bekræftede selv angrebet og måtte spærre al trafik fra udlandet for overhovedet at komme online igen.
Ifølge det svenske cybersikkerhedsfirma Truesec er Russian Legion sandsynligvis statsafstemte, men ikke statsfinansierede. Forsvarets Efterretningstjeneste har tidligere identificeret tilknyttede grupper som russiske instrumenter i en hybrid krig mod Vesten. Det er ikke amatører.
Mønsteret er tydeligt
Danske F-16 til Ukraine, DDoS mod danske domæner. Kommunalvalg, DDoS mod kommuner. Ukraine-hjælpepakke, OpDenmark. Styrelsen for Samfundssikkerhed beskriver i sin seneste trusselsvurdering, at pro-russiske cyberaktivister løbende udfører DDoS-angreb mod Danmark og andre europæiske NATO-lande i kontekst af spændingerne mellem Rusland og Vesten. Angrebene er blevet en del af normalbilledet.
Ifølge TDC Erhverv er DDoS-angreb drevet af geopolitiske spændinger en stigende trussel mod både private virksomheder og offentlig infrastruktur.
DDoS er ikke uskadeligt
Det er nemt at afskrive DDoS som harmløst. Der stjæles jo ingen data. Men spørg Nordea, der i september-oktober 2024 blev ramt af 400 angreb på 40 dage med 15-16 forskellige angrebsmetoder. Det var det største DDoS-angreb i bankens historie og ifølge deres forsvarspartner det største i Norden. Kunder kunne i perioder ikke bruge net- eller mobilbanken, og banken måtte åbne for erstatning til kunder, der led økonomisk tab.
DDoS kræver heller ikke længere teknisk snilde. Overbelastningsangreb kan bestilles som en tjeneste for beløb, de fleste ville betragte som småpenge. Det betyder, at enhver virksomhed med en hjemmeside eller kundeportal er et potentielt mål. SAMSIK peger desuden på, at DDoS-angreb i stigende grad kombineres med andre angrebsmetoder, hvor overbelastningen fungerer som røgslør, mens de rigtige angreb sker et andet sted i netværket.
Danske SMV’er er dårligt forberedte
En SAMSIK-analyse viser, at 50-60 procent af danske SMV’er ikke ville kunne udføre deres kerneopgaver, hvis de rammes af et cyberangreb. Og mange SMV’ers webhosting inkluderer ikke DDoS-beskyttelse som standard. Det betyder, at for en del danske virksomheder er forskellen mellem at være online og at være nede et spørgsmål om, hvorvidt hostingudbyderen har tændt for en funktion, der måske ikke engang er inkluderet i pakken.
Fem ting du kan gøre i morgen
Kontakt din hostingudbyder og spørg, om I har aktiv DDoS-beskyttelse. Ikke om den findes i kataloget, men om den er slået til på jeres konkrete løsning. Mange virksomheder opdager først under et angreb, at beskyttelsen var et tilvalg, de aldrig aktiverede.
Overvej geo-blocking. Hvis jeres kunder er i Danmark, er der sjældent grund til at tage imod trafik fra hele verden. sundhed.dk gjorde det midt under angrebet som nødløsning. I kan gøre det forebyggende.
Sørg for, at jeres webserver er adskilt fra interne systemer. Hvis et DDoS-angreb rammer jeres hjemmeside, skal det ikke kunne påvirke mail, fildrev eller økonomisystem. En penetrationstest kan afdække, om jeres systemer reelt er adskilt, eller om et angreb på ét punkt kan lægge alt ned.
Aftal en nødplan for nedetid. Hvem kontakter I, når hjemmesiden eller kundeportalen er nede? Har I en alternativ kommunikationskanal til kunder og medarbejdere? sundhed.dk havde beredskabet klar og kunne reagere inden for timer. Kan I det samme?
Få en uvildig gennemgang af jeres eksponering. Jeres IT-leverandør sælger løsningen, men hvem verificerer, at den virker under pres? En uvildig cybersikkerhedsaudit kigger på, om jeres forsvar holder, når det ikke længere er en øvelse.
Geopolitik er blevet en driftsrisiko
Russian Legion og OpDenmark er ikke en enkeltstående hændelse. Det er en del af et mønster, hvor danske virksomheder og myndigheder er mål, simpelthen fordi Danmark støtter Ukraine. Det ændrer sig ikke. Og angrebene bliver mere koordinerede.
Hvornår fik du sidst en uvildig gennemgang af, om jeres digitale forsvar holder, når presset ikke kommer fra en test, men fra en koordineret hackergruppe?
Har du brug for en uvildig vurdering af jeres DDoS-beskyttelse og digitale eksponering? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
