Natten mot lördagen föll Tietoevry offer för utpressningstrojanen Akiras våld. Akira är en så kallad dubbelutpressningstrojan, vilken både stjäl och utpressningskrypterar filerna som den kommer över. Utpressningskrypteringen gör att systemen blir oåtkomliga och att data kan gå förlorad. Stulna filer leder till risk för att känsliga uppgifter läcker på nätet.
Observera att vi ännu inte vet om någon data har stulits vid just det här tillfället. Vi vet däremot att data har utpressningskrypterats och gått förlorad (se avsnittet om Vellinge).
Hur lång tid det kommer ta att återställa systemen är oklart. Tietoevry skriver idag i ett pressmeddelande att ”med tanke på incidentens karaktär och antalet kundspecifika system som ska återställas kan återställningsprocessen fortfarande sträcka sig över flera dagar, till och med veckor”.
Bekräftat drabbade organisationer
Tietoevry är en tjänsteleverantör till många stora organisationer. Attacken mot Tietoevry fick därför snabbt ringar på vattnet och konsekvenser som märktes runt omkring i samhället.
Följande lista summerar organisationerna som jag har bekräftat att har drabbats av driftsstörningar till följd av just Tietoevry-attacken. Jag utelämnar medvetet mindre organisationer som enbart har påverkats i begränsad skala och saknar nationellt intresse.
Listan kan innehålla kunder som enbart har påverkats indirekt. När Tietoevry upptäckte attacken kan de ha ”dragit ur sladden” till icke-påverkade system i syfte att skydda dem. Som utomstående åskådare går det inte att se skillnad på system som har tagits ur drift för att de har blivit utpressningskrypterade och system som har tagits ur drift i preventivt syfte.
Anticimex
Skadedjursbekämparen Anticimex skickade under tisdagen ut ett pressmeddelande där de skrev att driftsstörningen begränsade Anticimex möjlighet att boka in nya kundbesök samt kundernas möjlighet att logga in i kundportalen.
Torsdag eftermiddag (2024-01-25) ligger kundportalen fortfarande nere.
BMW och Mini
Några av IT-systemen som bilmärkena BMW och Mini förlitar sig på gick ned i samband med attacken. I ett nyhetsbrev som BMW skickade ut på onsdagen skrev biltillverkaren att de för närvarande inte kunde skicka ut fakturor eller utföra kontraktsändringar. De skrev även att kundportalen ”Mina sidor” låg nere.
Torsdag eftermiddag (2024-01-25) ligger kundportalen fortfarande nere.
Filmstaden
Biografkedjan Filmstaden drabbades hårt men lyckades ändå hålla sina biografer öppna. Inledningsvis kunde de dock varken sälja biljetter eller ta betalt för snacks. Det dröjde till på lördagseftermiddagen innan Filmstaden började kunna ta betalt och då enbart med Swish.
Torsdag eftermiddag (2024-01-25) är det fortfarande enbart möjligt att köpa biljetter på plats på biograferna med betalning via Swish (ingen försäljning via webb eller app).
Filmstadens biografer är sedan många år tillbaka kontantfria biografer.
Granngården
Detaljhandelskedjan Granngården tillhör med sina drygt 100 butiker de omsättningsmässigt värst drabbade Tietoevry-kunderna (procentuellt). På lördagen stod Granngårdens försäljning still. Granngården kunde varken öppna sina butiker eller sälja produkter via webben. Det dröjde till några timmar in på tisdagen innan butikerna kunde slå upp dörrarna igen.
Granngårdens butiker är sedan 2022 kontantfria butiker.
Torsdag eftermiddag (2024-01-25) är webbutiken fortfarande stängd och Granngården uppger att de har ”störningar i sin operationella verksamhet”.
Loomis
Kontanthanteringsbolaget Loomis meddelade under måndagen att de påverkades på flera vis. I en varningsnotis på Loomis webbplats framgick det att de hade svårt att ge information om sina tjänster och saknade sannolikt möjlighet att fakturera för utförda tjänster. Därutöver varnade de för att data skulle kunna ha läckt.
Det finns en risk för att information vi har i vårt affärssystem om ert bolag kan ha kommit obehöriga till del, men det är inte bekräftat. Det kan innefatta information om bankkonto för utbetalning, företrädare med personnummer och deras roll, kontaktpersoner, fakturor, avtal och liknande dokumentation.
– Loomis, 2024-01-22
Torsdag eftermiddag (2024-01-25) ligger varningen kvar på Loomis webbplats.
Läkartidningen
Läkartidningens webbplats gick ned i samband med attacken. Redaktionen började då publicera sina artiklar på en reservwebbplats i väntan på lösning.
Torsdag eftermiddag (2024-01-25) är den ordinarie webbplatsen fortfarande otillgänglig.
Mediq
Sjukvårdsleverantören Mediq tappade anslutningen till Tietoevry i samband med attacken (jag missade att dokumentera den exakta innebörden av detta).
Mediq uppger på sin webbplats att deras anslutning återupprättades under onsdagen men att det kvarstår arbete innan Mediq blir fullt operativt igen. Mediq uppmanar sina kunder att ringa eller mejla in ordrar. Folkbladet rapporterar samtidigt (2024-01-23) att Mediqs lagersystem ligger nere och att de därför inte kan leverera varor. Samma artikel i Folkbladet anger detta som skäl till att Region Västerbotten gick upp i stabsläge.
På torsdag kväll (2024-01-25) är Mediqs webbutiker, förskrivningsportal och patientportal fortfarande oåtkomliga.
Munters
Klimatkontrollbolaget Munters offentliggjorde sina preliminära resultatsiffror i förväg. Detta gjorde de på grund av risk för att informationen hade läckt. På måndagsmorgonen skickade Munters ut ett pressmeddelande där de skrev att det till följd av utpressningsattacken inte kunde ”säkerställas att information avseende Munters preliminära resultat /…/ förblivit konfidentiell”.
Naturvetarna
Fackförbundet Naturvetarnas webbplats gick ned i samband med attacken, och under tisdagen meddelade Naturvetarna mig att det enbart var just webbplatsen som påverkades. Deras övriga system fungerade utan anmärkning.
Torsdag eftermiddag (2024-01-25) är Naturvetarnas webbplats fortfarande otillgänglig.
Primula/Statens servicecenter
HR- och lönesystemet Primula används av över 100 myndigheter (se lista hos Sveriges Radio). Systemet gick ned i samband med attacken och ligger fortfarande nere, vilket gör att avvikelser inte kan rapporteras. Statens servicecenter som ansvarar för Primula uppger att januarilönerna ändå kan betalas ut som planerat (se pressmeddelande).
Torsdag eftermiddag (2024-01-25) visar stickprovskontroller att lönesystemet fortfarande är otillgängligt.
Umeå Universitet driftar Primula i egen regi och har därför inte påverkats av driftsstörningen hos Tietoevry. Detta framgår av en nyhetsartikel på Umeå Universitets webbplats. Tack till ”Roger” som tipsade om detta.
Region Blekinge
Region Blekinge publicerade på tisdagen ett pressmeddelande om att de hade aktiverat reservresurser och en regional händelsestab. I pressmeddelandet framgick att driftsstörningen påverkade regionens ”informationsöverföringsverktyg som används för samverkan vid utskrivning från Blekingesjukhuset, psykiatrin, primärvården och länets kommuner”.
På en informationssamlingssida skriver regionen idag att ”obehöriga på ett olagligt sätt kan ha kommit åt personuppgifter som finns i ett av Region Blekinges vårdplaneringssystem” samt att ”regionen för närvarande inte har tillgång till vissa patientuppgifter” (informationen uppdaterades 2024-01-24).
Region Sörmland
Region Sörmland publicerade på tisdagen ett pressmeddelande om att flera system var påverkade och att de utredde omfattningen. Bland annat påverkades deras ”informationsöverföringsverktyg som används för samverkan vid utskrivning från sjukhusen, psykiatrin, primärvården till länets kommuner. På onsdagen följde regionen upp med ett nytt pressmeddelande om att de hade gick upp i stabsläge.
Region Uppsala
Region Uppsala publicerade under söndagen ett pressmeddelande om att störningar påverkade deras ekonomisystem och sjukvårdens journalsystem. Under måndagen publicerade de ytterligare ett pressmeddelande om att de hade tvingats gå över till reservrutiner men att störningarna inte påverkade invånarna.
Region Västerbotten
Region Västerbotten gick under måndagen upp i stabsläge. Detta framgick av ett pressmeddelande som regionen skickade ut samma dag. Där stod även att flera av regionens system påverkades av driftsstörningen, däribland systemet för utskrivning av patienter och systemet för beställning av förbrukningsinventarier.
Under tisdagen skickade regionen ut ett nytt pressmeddelande med budskapet att driftsstörningen var begränsad till de två nämnda systemen.
Leverantören av förbrukningsinventarier är i sin tur direkt drabbade av utpressningsattacken (se Mediq). Detta uppger Folkbladet.
Rusta
Detaljhandelskedjan Rustas webbplats gick ned i samband med attacken. På måndagen skickade Rusta ut ett pressmeddelande som tillkännagav att även lagerförsörjningen påverkades. Rustas drygt 200 butiker har däremot kunnat ha öppet som vanligt bortsett från att antalet kassor som tar emot betalkort har begränsats.
Rustas butiker tar emot kontanter och på söndagen uppmanade Rusta sina kunder att ta med kontanter för säkerhets skull (se kommentar på Facebook).
Torsdag eftermiddag (2024-01-25) är Rustas webbplats fortfarande otillgänglig.
Stadium
Detaljhandelskedjan Stadiums webbplats gick ned i samband med attacken. Stadiums 190 butiker verkar däremot inte ha drabbats och bolaget har inte skickat ut något pressmeddelande om övriga störningar. Av ett officiellt svar på Facebook att döma verkar dock Stadiums kundservice påverkas av driftsstörningen.
Stadiums butiker tar emot kontanter.
Torsdag eftermiddag (2024-01-25) är Stadiums webbplats fortfarande otillgänglig.
Svenska retursystem
Distributionsjätten Svenska retursystems webbplats och kundsystem gick ned i samband med attacken. I ett telefonsvararmeddelande, avlyssnat i tisdags, meddelade Svenska retursystem att flera av deras system var påverkade och att de inte kunde ta emot mejl. De hänvisade i stället beställningar till en tillfällig Outlook-mejladress.
Torsdag eftermiddag (2024-01-25) har den publika webbplatsen kommit upp igen men kundportalen ligger fortfarande nere.
Obs! Svenska retursystem har valt att inte besvara mina förfrågningar gällande koppling till Tietoevry-attacken. Jag baserar därför kopplingen på information som jag hittade i deras senaste årsredovisning. I den står att ”vår intention är att vårt samarbete med Tietoevry ska fungera som ett partnerskap där vi betraktar dem som vår egen IT-avdelning för drift, support och infrastruktur”. I årsredovisningen skriver de också att Tietoevry har haft dessa uppdrag i flera år.
Swedavia
Vid lunchtid på torsdagen tillkännagav Swedavia att deras interna ekonomisystem IFS påverkas. Swedavia skriver i ett pressmeddelande att driftsstörningen påverkar hanteringen av leverantörsbetalningar med längre handläggningstider som följd. Swedavia poängterar att ”driftsstörningen har en begränsad påverkan på Swedavias verksamhet och påverkar inte flygplatsernas operativa drift eller resenärerna”.
Systembolaget
Systembolaget drabbades i liten utsträckning. Under lördagen gick det inte att beställa varor via deras webbutik och enligt Systembolagets kommentar till Svenska Dagbladet fungerade inte heller sökfunktionen på deras webbplats. På söndagskvällen meddelade Systembolaget att webbplatsen var åter i full drift (se notis på Systembolagets webbplats).
Tradedoubler
Annonsbolaget Tradedoubler offentliggjorde sina preliminära resultatsiffror i förväg. Detta gjorde de på grund av risken för att informationen hade läckt. På måndagsmorgonen skickade Tradedoubler ut ett pressmeddelande där de skrev att de på grund av utpressningsattacken inte kunde ”säkerställa att information förblivit konfidentiell”.
Unionens a-kassa
Unionens a-kassas publika webbplats gick ned i samband med attacken. Medlemswebben ”Mina sidor” som används för tidsrapportering och ersättningsärenden påverkades däremot inte.
Torsdag eftermiddag (2024-01-25) är Unionens a-kassas publika webbplats fortfarande otillgänglig.
Vellinge kommun
Vellinge kommuns webbplats låg nere hela lördagen och det dröjde till långt inpå söndagen innan kommunen fick upp en reservwebbplats. Under onsdagen publicerade Vellinge kommun en uppdateringsnotis där de tillkännagav att ”en lång rad system är krypterade och låsta efter attacken” samt att de ”betraktar detta som förlorad information och data”.
I en kommentar till SVT meddelade Vellinge kommun att inte bara deras databaser hade blivit utpressningskrypterade utan även deras säkerhetskopior.
Torsdag eftermiddag (2024-01-25) är Vellinge kommuns ordinarie webbplats fortfarande otillgänglig. Vellinge kommun skriver att ”det kommer att ta lång tid att få en helt funktionell verksamhet”.
Bekräftat orelaterade driftsstörningar
Följande kunders driftsstörningar har bekräftats sakna koppling till attacken mot Tietoevry.
Orelaterat: Bjuvs kommun
Natten mot måndagen blev både Tietoevry och Bjuvs kommun attackerade med Akira-utpressningstrojanen. Detta var dock två skilda attacker. På onsdagen meddelade IT-chefen för IT-samarbetsorganisationen där Bjuvs kommun ingår att de visste hur Akira kom in i deras miljö men att inget tydde på någon koppling till Tietoevry (se Linkedin-inlägg).
Orelaterat: Ica
Under måndagen blev Icas och Ica-bankens webbplatser oåtkomliga. Ica meddelade mig att driftsstörningen saknade koppling till attacken mot Tietoevry.
Orelaterat: Polisen
Polisens publiceringssystem gick ner under lördagen. DN rapporterade att det inte fanns några indikationer på kopplingar till attacken mot Tietoevry.
Orelaterat: Örkelljunga kommun
Örkelljunga kommun publicerade på söndagen en uppmaning till sina medarbetare om att inte logga in på sina datorer (se arkivversion av det numera raderade inlägget). Detta visade sig vara en försiktighetsåtgärd som lyckligtvis var överflödig.
Uppmaningen publicerades med anledning av attacken mot samarbetskommunen Bjuv, vilken visade sig vara Akira-relaterad men sakna koppling till Tietoevry.
Mer information
Tietoevry publicerar löpande mer information om utpressningsattacken. Du hittar deras pressmeddelanden i Tietoevrys nyhetsrum.
Jag rekommenderar också alla att titta på TV4:s intervju med Patrik Fältström. På åtta minuter lyckas han summera situationen på ett lättförståeligt vis. Intervjun spelades in tisdagen 23:e januari.
Här följer slutligen ett urval av de artiklar där jag kommenterar situationen, sorterade efter publiceringsdatum, för er som vill följa utvecklingen.
- 2024-01-20 Svenska Dagbladet: Kommun drabbad av it-attack: ”Djupt oroande” (för prenumeranter)
- 2024-01-21 Göteborgs-Posten: IT-attackens omfattning klarnar – ingen prognos
- 2024-01-21 Dagens Nyheter: IT-attacken påverkar myndigheter och kommuner
- 2024-01-22 Göteborgs-Posten: Svenskarna extra sårbara vid cyberattack (för prenumeranter)
- 2024-01-22 Dagens Industri: Så hanterar du hackarna bäst (för prenumeranter)
- 2024-01-22 TT/Aftonbladet: Det här är hackergruppen Akira
- 2024-01-22 Dagens Nyheter: Expert om ligan bakom IT-attacken: ”Professionellt gäng”
- 2024-01-23 Dagens Samhälle: Så försvåras it-attacker – det här är expertens fyra tips (för prenumeranter)
- 2024-01-23 Dagens Industri: Granngården öppnar igen efter hackerattacken (för prenumeranter)
Ändringar
- 2024-01-25 17:25: Region Sörmland tillagda efter tips från Jan.
- 2024-01-25 17:35: Region Blekinge tillagda efter tips från David.
- 2024-01-25 18:05: Mediq tillagda efter tips från Tobias.
- 2024-01-25 19:55 Kompletterande information tillagd gällande kopplingen mellan Region Västerbotten och Mediq efter tips från ”maswan”.
- 2024-01-25 20:15 Swedavia tillagda efter tips från Tobias.
Fler drabbade:
https://who-umc.org/ “Due to a problem with our IT provider, several of UMC’s online services are currently unavailable. ”
https://www.jpinfonet.se/ “Vår underleverantör Tietoevry har utsatts för en it-attack. ”
https://www.tlv.se/ “Information till apoteken med anledning av IT-attack”
Går säkert att hitta fler efter inlägget på Flashback också
https://www.flashback.org/sp87115826
Stort tack för tips! Jag kollar in det imorgon.
Du kan lägga till Göteborgs stadsteater https://stadsteatern.goteborg.se/ och troligen också Sportshopen ( https://www.sportshopen.com/sv-se ) som just nu inte tar emot returer i sin butik och har övergett sina vanliga kortterminaler till förmån för iZettle pga “Nätverksproblem”.
Tandvårds-och läkemedelsförmånsverket
https://computersweden.idg.se/2.2683/1.780884/efter-tietoevryattacken–prissankning-pa-aldre-lakemedel-skjuts-upp