NSR Beredskapssenter

23.01.2026

NSR beredskapssenter er anmodet av Politiets nasjonale cyberkrimsenter (NC3) om å dele dette varselet fra 23. januar klokken 12.28. Varselet er utformet av NC3 i sin helhet. Varselet er også publisert på politiets nettsider: https://www.politiet.no/nyheter-og-presse/kripos/nyhet/2026-01-23/mange-norske-bedrifter-utsatt-for-datainnbrudd—vi-frykter-at-flere-star-i-fare

Løsepengeangrep mot flere norske bedrifter – NC3/Kripos frykter flere bedrifter kan rammes

Flere norske virksomheter har de siste månedene blitt utsatt for alvorlige datainnbrudd med påfølgende datatyveri og kryptering av datasystemer ved bruk av løsepengevirus. Politiet frykter at enda flere bedrifter kan bli rammet dersom nødvendige sikkerhetstiltak ikke gjennomføres.

Gjerningspersonene utnytter en kjent sårbarhet i brannmurer fra Sonicwall som benytter SonicOS. Sårbarheten gjelder særlig systemer hvor SSL VPN har vært aktivert for ekstern tilgang til virksomhetens datasystemer.

— Det er svært viktig at alle virksomheter som bruker Sonicwall brannmurer med SonicOS sørger for å oppdatere systemene sine og følger leverandørens sikkerhetsanbefalinger, sier Christian Nesheim Larsen, avsnittsleder ved NC3, Kripos.

Sonicwall har selv gått ut med tydelige oppfordringer til sine kunder om å sikre systemene sine gjennom oppdateringer og endring av passord.

Flere hendelser med lik fremgangsmåte

Politiet mistenker at eldre, uoppdaterte sårbarheter i SonicOS er årsaken til at en rekke norske virksomheter har blitt utsatt for datainnbrudd og løsepengevirus. I sakene politiet har etterforsket har gjerningspersonene fått tilgang til virksomhetenes interne systemer via VPN-tilganger eksponert mot internett.

Den første kjente hendelsen fant sted i november 2025, mens den siste inntraff for under en uke siden. Politiet mener gjerningspersonene i sakene kan være tilknyttet hverandre.

— Det er en uvanlig høy aktivitet fra denne grupperingens side, og likheten i fremgangsmåte mellom sakene er påfallende, sier Larsen.

Oppfordrer virksomheter til å kontakte politiet

Gjennom etterforskning har politiet identifisert en sårbarhet som svært mange små og mellomstore virksomheter deler, og som organiserte internasjonale kriminelle aktivt utnytter for å bryte seg inn i og presse norske bedrifter.

— Disse sakene viser tydelig verdien av at virksomheter tar kontakt med politiet når de blir utsatt for datakriminalitet. Det gir oss mulighet til å avdekke sammenhenger, varsle andre og forebygge nye angrep, sier Larsen.

Frykter at flere virksomheter er i fare

Politiet erfarer at gjerningspersonene fortsatt er aktive og frykter at andre virksomheter kan bli utsatt for tilsvarende angrep.

I august 2024 informerte Sonicwall om en sårbarhet i SonicOS knyttet til administrativ tilgang og SSL VPN, som kunne gi uautorisert tilgang til systemene. Samtidig anbefalte selskapet at passord til lokale brukerkontoer ble endret. Dersom tilgangsopplysninger ble stjålet mens systemene var sårbare, kan disse fortsatt brukes mot oppdaterte enheter hvor passordene ikke er endret.

Sonicwall advarte i august 2025 mot at tidligere kompromitterte tilgangsopplysninger nå ble aktivt brukt for å oppnå tilgang via SSL VPN.

Tidligere hendelser hos leverandør

I september 2025 informerte Sonicwall om at sikkerhetskopier lagret gjennom MySonicWall Cloud Backup var blitt aksessert av en uautorisert aktør. Disse sikkerhetskopiene inneholdt krypterte tilgangsopplysninger. Politiet er per i dag ikke kjent med at informasjon fra denne hendelsen er brukt i andre datainnbrudd.

Digitale angrep kan skje alle

På nettstedet sikkert.no finner virksomheter og privatpersoner råd og anbefalinger som gjør det enklere å styrke den digitale sikkerheten i praksis.

Her får man hjelp til å forstå hva man bør gjøre, hvorfor det er viktig, og hvordan man kommer i gang. Nettstedet gir også veiledning dersom man allerede har vært utsatt for en uønsket digital hendelse, enten man er leder, ansatt, jobber i offentlig sektor eller er privatperson.