Cybersäkerhetscentrets veckoöversikt – 43/2025

Informationssäkerhet Nu!

Publicerad 31.10.2025 8:19

Den här veckan berättar vi varför routern är det viktigaste skyddet i hemnätverket och hur den förhindrar attacker mot hemmets enheter. Vi tar också upp dataintrånget mot teknikföretaget F5 samt det material om cybersäkerhet inom vattenförsörjningen som publicerats i projektet VESKY 2025. Dessutom berättar vi om Europols operation SIMcartel där man stängde ner infrastruktur som använts i bedrägerier. I skadeprogramöversikten bekantar vi oss med Expiro-viruset som infekterar Windows-system.

Tällä viikolla katsauksessa käsiteltäviä asioita

Routern är brandväggen i ditt hemnätverk, koppla inte in dina enheter utan den!
Det amerikanska informationssäkerhets- och teknikföretaget F5 har utsatts för dataintrång – F5-produkter används också i Finland
Cybersäkerheten inom vattenförsörjningen stärks – projektet VESKY 2025 har publicerat mallar och processer tillgängliga för alla
Den internationella operationen SIMcartel stängde infrastruktur som använts i bedrägerier
Veckans skadeprogramöversikt: Expiro

Routern är brandväggen i ditt hemnätverk, koppla inte in dina enheter utan den!

Routern är hemnätets centrala brandvägg som skiljer dina enheter i hemnätet från det offentliga nätet. Dess viktigaste uppgift är att förhindra direkta anslutningar från utsidan till enskilda enheter såsom datorer, telefoner eller enheter för smart hem. Om en enhet skulle kopplas direkt till det offentliga nätet utan routern skulle den vara utsatt för internettrafik såsom angreppsförsök, skadliga program och obehöriga inloggningsförsök.

Routern döljer enheterna i det interna nätet från det externa nätet. Utåt syns då bara routerns adress, inte enskilda enheter. Då kan utomstående inte rikta attacker direkt mot vissa enheter.

Routern möjliggör användning av brandvägg och andra skyddsfunktioner. Den kan blockera skadlig trafik och ge skydd även när flera enheter från olika tillverkare ansluts till nätet, där inte alla har lika stark informationssäkerhet. Därför är det viktigt att du inte ansluter enheter direkt till det offentliga nätet, utan alltid via routern. Detta gäller också bostadsbolagens gemensamma anslutningar och fiberterminaler.

Varför är brottslingar intresserade av dina enheter?

Brottslingar söker sårbara, det vill säga intrångsbenägna enheter (såsom hemroutrar) manuellt eller automatiskt på nätet. Kapad nätutrustning används exempelvis för att utföra överlastningsangrepp. Distribuerade överbelastningsattacker (DDoS, Distributed Denial of Service) genomförs ofta genom att styra ett stort antal kapade nätverksanslutna enheter. Genom att skydda dina egna enheter kan du alltså inte bara skydda dig själv, utan också bidra till att stärka det finländska samhällets cybersäkerhet.

Läs mer i våra anvisningar om informationssäkerheten i hemnätet och routern här! (Extern länk)

Infografiikka, jossa älytelevisio on yhdistetty riskialttiilla asetuksilla (esim. suoraan siltaamalla) internetiin. Rikollinen kurkisteleeinternetistä käsin televisiota kohti kiikareilla, koska kuka tahansa voi nähdä nettiin tällä tavoin avoinna olevan laitteen. Samaan aikaan älylelu, tulostin ja tietokone ovat kotiverkossa turvallisempien asetusten (esim. palomuuri ja NAT-yhteys) takana, jolloin reititin piilottaa kaikki laitteet yhden IP-osoitteen taakse.

Det amerikanska informationssäkerhets- och teknikföretaget F5 har utsatts för dataintrång – F5-produkter används också i Finland

Det amerikanska informationssäkerhets- och teknikföretaget F5 har meddelat att det har utsatts för ett allvarligt dataintrång. En aktör som bedöms vara en statlig hotaktör hade fått tillgång till F5:s interna system och kopierat bland annat källkoden till BIG-IP-produkterna samt uppgifter om ännu ej publicerade sårbarheter.

Företagets produkter och tjänster används i stor utsträckning även i Finland. Organisationer rekommenderas att granska sina egna system för eventuella läckta sårbarheter och utnyttjanden av dessa, om F5:s produkter eller tjänster används i den egna IT-miljön.

Rekommenderade åtgärder för organisationer som använder F5-system:

Kontrollera vilka F5-enheter och -tjänster som används i din organisation.
Uppdatera F5-enheterna och -tjänsterna till den senaste publicerade versionen.
Förstärk de system som är synliga i det offentliga nätet.
Aktivera och använd central logghantering och händelseövervakning (t.ex. loggströmning i BIG-IP).
Övervaka inloggningsförsök, misslyckade autentiseringar samt ändringar i behörigheter och konfigurationer i systemen.

Cybersäkerhetscentret har publicerat en artikel i serien Informationssäkerhet nu! där fallet behandlas mer ingående och där man beskriver skyddsåtgärder som organisationer bör ta i bruk för F5-produkterna.

Informationssäkerhet nu! -artikel (på finska) Det amerikanska informationssäkerhets- och teknikföretaget F5 utsatt för dataintrång (Extern länk)

Cybersäkerheten inom vattenförsörjningen stärks – projektet VESKY 2025 har publicerat mallar och processer tillgängliga för alla

Det gemensamma projektet VESKY, som avslutades hösten 2025 och syftade till att förbättra vattenförsörjningens driftsäkerhet och cybersäkerhet, har tagit fram en omfattande samling mallar och processer som nu har publicerats på Cybersäkerhetscentrets webbplats för fritt bruk av alla organisationer.

Malldokumenten erbjuder konkreta exempel och färdiga mallar bland annat för informationssäkerhetspolicy, arkitekturpolicy, riskhantering och leverantörskrav. De publicerade dokumenten ger goda utgångspunkter för att utveckla organisationens styrmodeller, och varje organisation kan anpassa dem efter sina egna behov. Inom VESKY-projektet testades även Finlands Vattenverksförenings verktyg för hantering av informationssäkerhetsrisker.

Material från det gemensamma projektet VESKY 2025 för förbättring av vattenförsörjningens driftsäkerhet och cybersäkerhet (Extern länk) (på finska)

Vattenverksförening: Excelverktyg för riskhantering av vattentjänstverkens cybersäkerhet (Extern länk) (på finska)

Den internationella operationen SIMcartel stängde infrastruktur som använts i bedrägerier

Europol genomförde tillsammans med andra aktörer en internationell operation med namnet ”SIMcartel”, vilket ledde till att den SIMbox-infrastruktur som misstänkta brottslingar använde i Lettland stängdes ner. Syftet med infrastrukturen var att möjliggöra anonym kommunikation via mobilabonnemang i över 80 olika länder, och med dess hjälp skapades cirka 50 miljoner konton i olika tjänster som sedan användes för att begå bedrägerier. Bedrägerierna beräknas ha haft minst 3 200 offer och orsakat ekonomiska förluster på nästan fem miljoner euro.

Till följd av operationen genomfördes 14 husrannsakningar i Lettland, där polisen beslagtog 1 200 SIM-enheter, omkring 40 000 SIM-kort, servrar, lyxbilar samt över 600 000 euro i penningtillgångar och kryptovaluta. Polisen stängde även webbplatser som hade anknytning till ärendet. Fem letter greps under operationen, misstänkta för att under täckmantel av laglig affärsverksamhet ha möjliggjort skapandet av konton i bedrägligt syfte.

Operationen genomfördes i internationellt samarbete mellan Finland, Lettland, Estland, Österrike, Europol, Eurojust och Shadowserver Foundation. Från Finland deltog polisen, Centralkriminalpolisen samt enheten för datanätsstödda brott.

Europol: Cybercrime-as-a-service takedown: 7 arrested (Extern länk)

In an international operation “SIMcartel”, the State Police dismantles IT infrastructure used for online fraud; five Latvian nationals arrested (Extern länk)

Veckans skadeprogramöversikt: Expiro

Expiro är ett virus som infekterar Windows-system, infogar sin skadliga kod i befintliga EXE-filer och använder dem för att sprida sig. Det kan installera farliga webbläsartillägg, ändra webbläsarens säkerhetsinställningar och stjäla användarnas inloggningsuppgifter. Efter att ha infekterat en maskin ger Expiro angriparen fjärråtkomst till den infekterade datorn och ändrar särskilt skyddsnivåerna i Internet Explorer.

Fram till 2018 innehöll nya varianter avancerade tekniker för att förhindra analys av skadlig kod, och i versionerna 2022–2025 har ännu mer avancerade metoder för att undvika upptäckt, starkare kryptering samt motåtgärder mot säkerhetsprogramvara lagts till.

Så skyddar du dig mot Expiro-skadeprogrammet:

Håll systemen uppdaterade. Installera alla säkerhetsuppdateringar för operativsystemet och programvarorna regelbundet.
Använd antivirusprogram. Ha realtidsskyddet aktiverat och kontrollera nedladdningar, bilagor och länkar innan du öppnar dem.
Var försiktig i kommunikationen. Öppna inte misstänkta e-postmeddelanden eller meddelanden i sociala medier som innehåller bilagor eller länkar.
Aktivera multifaktorautentisering. Skydda dina konton även om ditt lösenord skulle hamna i fel händer.

Eftersom Expiro ändrar legitima filer och gömmer sig i dem är det bästa skyddet att vara uppmärksam, ladda filer på ett säkert sätt och använda uppdaterad säkerhetsprogramvara.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.

Kontakta din bank utan dröjsmål om du har gjort en betalning på grund av bedrägeri, eller om en brottsling har fått tillgång till din nätbank eller fått tag på dina betalkortsuppgifter.
Gör en brottsanmälan till polisen. Du kan göra en elektronisk brottsanmälan på nätet. (Extern länk)
Du kan också göra en anmälan till Cybersäkerhetscentret. (Extern länk)
Råd till offer för dataintrång (Extern länk)

Läs mer om olika metoder för att identifiera och skydda dig mot nätbedrägerier

Det här är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 24.10–30.10.2025). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare.