Region Värmland hackade i fyra månader — så skyddar du din M365-miljö

Region Värmland drabbades av en phishingattack där angripare fick tillgång till anställdas Microsoft 365-e-postkonton. Intrånget pågick från oktober 2025 till februari 2026 — fyra månader utan att det upptäcktes. CERT-SE rapporterade om händelsen i sitt senaste veckobrev.

Fyra månader. Det är tillräckligt med tid för att läsa all intern kommunikation, kartlägga leverantörskedjor, förbereda falska fakturor och rikta BEC-attacker mot organisationens kontaktnät.

Varför det här borde oroa alla svenska SMF

Det här är inte en engångshändelse. CERT-SE har under hela 2026 varnat för en markant ökning av BEC-attacker mot svenska små och medelstora företag. Mönstret är detsamma: komprometterade M365-konton används för att skicka falska fakturor och ändra betalningsuppgifter.

Region Värmland är en stor organisation med resurser. Om de inte upptäckte intrånget på fyra månader — hur ser det ut hos ett företag med 15 anställda och ingen dedikerad IT-säkerhet?

Tre saker ni kan göra idag

1. Granska MFA-metoder. Om någon i organisationen fortfarande loggar in med bara SMS eller TOTP — uppgradera till FIDO2-nycklar eller Passkeys. SMS-verifiering räcker inte mot moderna phishing-kit som fångar MFA-koder i realtid.

2. Aktivera inloggningsloggar i Entra ID. Sätt upp varningar för inloggningar från oväntade platser, nya enheter och anonyma proxyer. Det här hade kunnat fånga Region Värmlands intrång veckor tidigare.

3. Konfigurera Defender for Office 365. Aktivera anti-phishing-policyer, Safe Links och Safe Attachments. Kontrollera att impersonation protection är påslagen för chefer och ekonomiansvariga.

Så kan vi hjälpa

Vi erbjuder en e-postsäkerhetsbedömning (halvdag) där vi granskar MFA-konfiguration, Defender for Office 365-policyer och inloggningsloggar. Vi kan också genomföra en FIDO2-migrering för kunder som vill bort från SMS-verifiering. Kontakta oss.

---

Källa: CERT-SE Veckobrev v.13