Cybersäkerhetscentrets veckoöversikt – 50/2025

Var försiktig med din BitLocker-återställningsnyckel

BitLocker är en funktion för fullständig diskkryptering som utvecklats av Microsoft och ingår i vissa versioner av Windows-operativsystemet (t.ex. Pro, Enterprise och Education). Den är utformad för att skydda data mot obehörig åtkomst genom att kryptera hela lagringsenheter. BitLocker kan användas för att kryptera datorers hårddiskar, USB-minnen och externa hårddiskar. 

Organisationer rekommenderas att se över sin återställningsprocess för BitLocker. Vid granskningen bör man beakta om organisationens användare kan se BitLocker-återställningsnycklarna och själva genomföra återställningen, eller om IT-supporten bör hjälpa användaren i återställningsprocessen genom att lämna ut BitLocker-återställningsnyckeln.

Det kan uppstå behov av BitLocker-återställningsnyckeln, till exempel om 

• PIN-koden har angetts fel för många gånger
• det finns behov av att göra ändringar i start­hanteraren (boot manager).
• inaktivering, blockering eller tömning av TPM-säkerhetskretsen.

Synligheten av BitLocker-återställningsnycklarna kan förhindras för användarna. IT-supportpersoner kan tilldelas rollen som administratör, kallad BitLocker Reader, vilket gör att endast de kan lämna ut BitLocker-återställningskoden till användaren. Blockeringen av BitLocker-återställningskoden kan göras via Microsoft Entra ID:s administratörscenter eller via Microsoft Graph.

Det är bra för organisationen att planera processer för följande situationer:

• Hur hanterar vi förlorade eller bortglömda lösenord?
• Hur återställer vi PIN-koden för smartkort?
• Kan användarna spara eller hämta återställningsinformation för sina egna enheter?
• Var vill ni lagra BitLocker-återställningsnycklarna och vad är instruktionen för användaren vid aktivering av återställningsnyckeln?
• Vill ni införa rotation av återställningslösenordet?

Organisationen rekommenderas att granska och fastställa policyinställningar och processer för återställning av BitLocker-skyddade enheter. Samtidigt måste man säkerställa att återställningsinformationen lagras på ett säkert sätt och separat från de enheter som den skyddar.

Hantering av huvudadministratörskonton för molntjänster – bästa praxis

Molntjänster har blivit en del av nästan varje organisations IT-infrastruktur. De används även i organisationens kritiska funktioner, vilket gör att säker hantering av huvudadministratörskonton för molntjänster är mycket viktigt. Missbruk av bara ett enda huvudadministratörskonto kan äventyra hela organisationens molnmiljö och stoppa verksamheten.

I en färsk artikel från Cybersäkerhetscentret gås de tre vanligaste molntjänsterna igenom – Amazon Web Services (AWS), Microsoft Azure och Google Cloud Platform (GCP). Läs mer om hur deras huvudadministratörskonton bör skyddas och underhållas.

 

Cybervädret i november har publicerats

Cybersäkerhetsläget i november var över lag regnigt, men samtidigt ganska lugnt. Under månaden observerades några anmärkningsvärda fenomen i Finland och världen. De mest betydande nya observationerna var angrepp med ClickFix-teknik och skadeprogrammet Shai-Hulud 2.0. 

Kyberala murroksessa (Cybersektorn i förändring) -inspelning av webbinariet tillgänglig

I årets sista webbinarium i serien ”Kyberala murroksessa” (Cybersektorn i förändring) blickade vi både bakåt och framåt. Hur har det gångna året sett ut ur ett cybersäkerhetsperspektiv? Vilka utvecklingsbanor kan vi förvänta oss under 2026 och hur kan vi genom samarbete förbereda oss på såväl förväntade som oväntade cyberhot? 

Inspelningen från webbinariet finns både på Videosync-tjänsten och i början av nästa vecka textad på Traficoms YouTube-kanal.

Inspelningen av informationsmötet om EU-finansiering för cybersäkerhet finns tillgänglig för visning

Nationella samordningscentrumet vid Cybersäkerhetscentret ordnade ett allmänt informationsmöte om ansökan tisdagen den 25.11.2025. Under tillfället presenterades de öppna utlysningarna inom programmet för ett digitalt Europa, ansökningsomgången CYBER-09, och deltagarna fick praktiska tips för att förbereda sina ansökningar. Inspelningen av evenemanget finns nu tillgänglig på Traficoms YouTube-kanal. 

Veckans skadeprogramöversikt: Shai-Hulud

Shai-Hulud är en modulär skadeprogramhelhet som har aktiverats under de senaste månaderna. Namnet hänvisar till sandmaskarna i Dune-böckerna och beskriver träffande skadeprogrammets sätt att ”gräva” sig djupt in i systemet och utvidgas i sin omgivning obemärkt.

Shai-Hulud 2.0 är en mask som sprids i NPM-miljön (Node Package Manager) och är utformad för att snabbt sprida sig automatiskt via programutvecklarnas utvecklingsmiljöer. Masken installeras i utvecklingsmiljön när användaren tar i bruk ett infekterat npm-paket.

När den väl har fått fotfäste söker masken efter hemligheter i målet, såsom API-nycklar och identifierare, GitHub- och npm-konton, molnkonton samt miljövariabler. De uppgifter den hittar publiceras i ett offentligt GitHub-repository. Därefter publicerar masken nya kopior av sig själv i npm-paketsamlingen med de stulna användarkontona för att sprida sig vidare. Samtidigt överför den de stulna uppgifterna till angriparen.

För att upptäcka och förhindra infektioner bör din organisation först gå igenom hela utvecklingsinfrastrukturen och leta efter misstänkta tecken. Särskilt bör du leta efter kända infekterade paket. Infekterade paket bör tas bort omedelbart och automatiska paketuppdateringar tillfälligt stängas av. Vid misstanke om infektion bör administratörerna byta ut alla behörighetsuppgifter.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.

• Bekanta dig med veckoöversikten

Detta är Cybersäkerhetscentrets veckoöversikt (rapporteringsperiod 28.11.–4.12.2025). Vår veckoöversikt innehåller information om aktuella cyberfenomen. Veckoöversikten är avsedd för alla från cybersäkerhetsexperter till vanliga medborgare. 

Tidigare veckoöversikter hittar du här (Extern länk)