ai-blogg

När din IT-leverantör blir hackarnas bästa vän

18 maj 2026 — Ulfbåge Consulting

Jag brukar säga att det finns två typer av företag: de som vet att de blivit hackade, och de som inte vet det än. Men nu har vi fått en tredje kategori – de som trodde att de var säkra för att de outsourcat säkerheten till en ”pålitlig” leverantör. Spoiler: Det slutade inte väl.

För några veckor sedan snubblade jag över en incidentrapport som fick mig att spilla kaffet. En hackargrupp hade använt en komprometterad IT-leverantör som springbräda för att smyga in i kundernas system – utan att behöva knäcka en enda brandvägg. De använde bara de verktyg och behörigheter som redan fanns där. Som att låna grannens stege för att stjäla din TV.

Varför detta är som att låta räven vakta hönshuset

Vi lever i en tid där företag outsourcar allt från löneadministration till serverunderhåll. Problemet? Varje ny leverantör du lägger till i din IT-miljö är som en ny dörr in till ditt hus – och du har precis gett bort nyckeln. Microsofts incidentrapport visade hur hackare:

  • Använde godkända IT-hanteringsverktyg (som HPE Operations Agent) för att köra skadlig kod – helt utan misstänkt malware.
  • Registrerade falska autentiseringsmoduler på domänkontrollanter för att stjäla lösenord i klartext.
  • Låg lågt i 60 dagar innan någon märkte något. Tänk på det: två månaders obehindrat plundrande.

Det värsta? Allt såg ut som normal administrativ aktivitet. Inga larm, inga uppenbara avvikelser – bara en tyst, ihållande närvaro som en oinbjuden gäst som äter upp dina rester.

Så här smyger de in (och varför du inte ser dem)

Hackarna bakom denna attack var inte ute efter snabba pengar. De ville ha långsiktig tillgång – som en hyresgäst som vägrar flytta ut. Här är deras spelplan:

  1. Dag 1: Komprometterar IT-leverantören och får tillgång till deras hanteringsverktyg (som HPE Operations Manager).
  2. Vecka 2: Börjar samla in lösenord genom att injicera skadliga DLL-filer i Windows autentiseringsprocess.
  3. Vecka 4: Skapar webbaserad persistens på utsatta servrar – som en bakdörr som alltid är olåst.
  4. Vecka 8–12: Rör sig sidleds i nätverket med stulna legitimationsuppgifter, som en tjuv med en stulen nyckelring.

Det geniala (ur hackarnas synvinkel) var att de aldrig behövde använda traditionell malware. Allt de gjorde såg ut som rutinuppgifter – som när jag försöker övertyga min katt om att badet är ”frivilligt”.

Mini-anekdot: För några år sedan upptäckte jag ett intrång där hackarna använt en legitim PowerShell-script från en leverantör – men med en liten ändring. De hade lagt till en rad som loggade alla administratörslösenord till en textfil namn kattbilder.txt. När jag frågade varför just det namnet, svarade kollegan: ”För att ingen någonsin skulle misstänka en fil som heter kattbilder.” Han hade rätt. Filen hade legat där i sex månader.

Automatisering: Din nya bästa vän (om du konfigurerar den rätt)

Medan hackarna blir bättre på att smyga, måste vi bli bättre på att stoppa dem innan de hinner börja. Här kommer automatiserad hotrespons in i bilden – som en vaktmästare som alltid är vaken. Barracudas lösning (och liknande verktyg) kan:

  • Inaktivera komprometterade Microsoft 365-konton på sekunder – innan skadan sprider sig.
  • Blockera misstänkt e-posttrafik innan användaren klickar på länken (som den där ”urgenta” fakturan från en ”leverantör” du aldrig hört talas om).
  • Isolera infekterade enheter automatiskt – som en karantän för datorer.

Poängen är inte att ersätta människor, utan att ge oss tid att andas. När ett system kan neutralisera 90% av hoten automatiskt, kan vi fokusera på de riktigt kniviga fallen – som när hackarna börjar bli kreativa.

Tricksies checklist för att inte bli nästa offer

Nu till det praktiska. Här är min lista över saker du måste göra – annars får du skylla dig själv när räven redan sitter i ditt serverrum och äter dina data:

  • Granska alla tredjepartsåtkomster. Vem har behörighet att köra skript på dina servrar? Varför? Dokumentera det idag.
  • Aktivera flerfaktorsautentisering (MFA) överallt. Ja, även för IT-leverantörerna. Nej, SMS är inte tillräckligt. Använd app-baserad eller hårdvarubaserad MFA.
  • Logga all administratörsaktivitet. Och menar jag all. Om någon kör ett PowerShell-skript klockan 3 på natten, vill du veta varför.
  • Segmentera nätverket. IT-leverantören behöver inte ha tillgång till hela ditt nätverk. Ge dem bara åtkomst till det de verkligen behöver.
  • Uppdatera din incidentresponsplan. Den där planen från 2018 räcker inte. Inkludera scenarier där en leverantör är komprometterad.
  • Använd automatiserad hotrespons. Konfigurera regler för att blockera misstänkt aktivitet omedelbart – innan du ens hinner få en alert.
  • Träna dina anställda i social manipulation. 90% av alla intrång börjar med ett mejl. Om din personal klickar på allt, har du redan förlorat.
  • Gör regelbundna ”red team”-övningar. Anlita någon som försöker hacka er – på riktigt. Du kommer bli förvånad över hur lätt det är.

Bonus: Om du bara gör en sak från denna lista, låt det vara MFA. Det stoppar 99% av alla automatiserade attacker. Resten är som att låsa dörren men lämna fönstret öppet – tekniskt sett säkert, men inte särskilt effektivt.

Nästa steg: Vad du gör imorgon

Att läsa denna blogg räcker inte. Här är vad du måste göra nästa:

  1. Kartlägg dina tredjepartsrisker. Lista alla externer som har åtkomst till dina system. Prioritera dem efter risk (hint: den som kan köra kod är värst).
  2. Aktivera automatiserad hotrespons. Börja med e-post och Microsoft 365 – det är där majoritytet av attackerna startar.
  3. Kör en genomsökning efter misstänkt aktivitet. Letar du efter någonting specifikt? Börja med ovanliga skriptkörningar och nya schemalagda uppgifter.
  4. Uppdatera dina lösenordspolicys. Om du fortfarande tillåter lösenord som ”Välkommen123!”, har du redan förlorat. Kräv minst 12 tecken och blockera vanliga ord.

Och kom ihåg: Cybersäkerhet är inte en engångsgrej. Det är som att borsta tänderna – om du slutar, börjar problemen växa (och luktar lika illa).

Lycka till där ute – och håll ögonen öppna för rävar i serverrummet. 🦊

← Tillbaka till startsidan
Kontakt

Stärk er säkerhetsförmåga

Vill du diskutera hur vi kan hjälpa er organisation? Kontakta oss för ett förutsättningslöst samtal om era behov.

Plats Palma de Mallorca / Remote
Arbetar Internationellt, fokus Norden