Ransomware är en typ av skadlig programvara (malware) som syftar till att kryptera filer på en dator eller ett nätverk och sedan begära en lösesumma (ransom) för att återställa tillgången till de krypterade filerna. Ransomware sprids vanligtvis genom skadliga e-postbilagor, nedladdade filer eller genom utnyttjande av sårbarheter i system och programvara.

Hur går en ransomware attack till?

Det är viktigt att notera att varje ransomware attack kan vara unik och att attacker kan variera i komplexitet och taktik

Hur skyddar man sig mot Ransomware?

För att skydda sig mot en ransomware attack är det viktigt att ha en robust säkerhetsstrategi på plats, inklusive regelbundna säkerhetskopior av viktig information, uppdaterad antivirusprogramvara, att vara försiktig med e-postbilagor och nedladdningar samt att hålla operativsystem och program uppdaterade med senaste säkerhetspatchar.

IKEA utsatt för utpressning – hackergrupp kräver lösen efter massiv Salesforce-läcka

5 Lästid

oktober 10, 2025

Ransomware Protection with Regular Data Backups

Innehåll

I oktober 2025 drabbades IKEA av en omfattande cyberattack där en berömd hackargrupp stulit kunduppgifter från cirka 14 miljoner kunder. Nu pågår en utpressning där hackarna hotar att publicera all data om företaget inte betalar en lösensumma innan deadline den 10 oktober 2025.

Vad har hänt?

IKEA är ett av 39 globala storföretag som drabbats av vad som kan vara årets största dataläcka (SC Media, 2025). Hackargruppen ”Scattered Lapsus$ Hunters” påstår sig ha stulit uppgifter om totalt cirka 1 miljard användare genom att kompromittera företagens CRM-system Salesforce (Schwartz, 2025).

Den 3 oktober 2025 lanserade hackarna en så kallad ”data leak site” på dark web där de listar alla drabbade företag och visar dataprov som bevis (Rescana, 2025). Meddelandet är tydligt: betala innan 10 oktober, annars publiceras all stulen data offentligt (Zorz, 2025).

Vem ligger bakom attacken?

Bakom attacken står ”Scattered Lapsus$ Hunters” – ett team av cyberkriminella som består av medlemmar från tre av världens mest ökända hackargrupper (SOCRadar, 2025):

Lapsus$

En brasiliansk-brittisk hackargrupp som blivit känd för attacker mot techjättar. De har tidigare hackat Microsoft, Nvidia, Samsung och Uber. Gruppen är känd för sin aggressiva stil och att de ofta rekryterar unga hackare, ibland tonåringar (Schwartz, 2025).

Scattered Spider

En nordamerikansk grupp specialiserad på social engineering och voice phishing. De är mästare på att låtsas vara IT-support och lura anställda att ge ut känslig information. Gruppen låg bakom den massiva attacken mot MGM Resorts 2023 som kostade företaget över 100 miljoner dollar (Schwartz, 2025).

ShinyHunters

En grupp fokuserad på datastöld och försäljning av läckt data på dark web. De har stulit hundratals miljoner användaruppgifter från företag som Microsoft, AT&T och Twitch.

Tillsammans bildar dessa grupper en extremt farlig kombination av teknisk skicklighet, social manipulation och erfaren datahantering. SOCRadar (2025) beskriver detta som ett cyberkriminalitetsnätverk känt som ”The Com” – en subkultur av unga, engelsktalande hackare som delar verktyg och samarbetar över gruppgränser.

Hur gick attacken till?

Attacken var sofistikerad och utnyttjade flera svagheter enligt FBI och Google Threat Intelligence (Rescana, 2025):

Steg 1: Voice Phishing (Vishing) Hackarna ringde upp anställda på målföretagen och utgav sig för att vara från IT-supporten eller Salesforce själva (SOCRadar, 2025). Med övertygande prat lurade de anställda att installera vad som verkade vara legitim mjukvara

Steg 2: OAuth-manipulation Genom att få anställda att godkänna skadliga OAuth-appar fick hackarna tillgång till företagens Salesforce-instanser (Rescana, 2025). OAuth är ett sätt för olika tjänster att prata med varandra – men i detta fall öppnade det dörren för angriparna.

Steg 3: Salesloft Drift-exploatering Hackarna utnyttjade även en integration mellan Salesforce och AI-chattverktyget Salesloft Drift. De stal OAuth-tokens från Saleslofts GitHub-repo och använde dessa för att komma åt cirka 760 företags Salesforce-databaser samtidigt (Schwartz, 2025).

Steg 4: Massiv datautvinning När väl inne i systemen använde hackarna modifierade versioner av Salesforce Data Loader för att snabbt exportera enorma mängder data (Rescana, 2025).

Vilken data har stulits från IKEA?

Från IKEA specifikt har hackarna fått tillgång till (Data Breach Search, 2025):

Personuppgifter från 14 miljoner IKEA-kunder
Fullständiga namn
Bostadsorter och adresser
Telefonnummer
E-postadresser
Köphistorik och ordernummer
Företagskänslig information

Andra drabbade företag

IKEA är i tungt sällskap, bland de 39 drabbade företagen finns:

Teknologi: Google, Cisco, Cloudflare, Palo Alto Networks.
Detaljhandel: Home Depot, Gap, Walgreens, Instacart, Petco.
Transport: FedEx, UPS, Qantas Airways, Air France & KLM, Toyota
Lyxvarumärken: Chanel, Cartier, Louis Vuitton, Gucci, Adidas, Puma
Underhållning: Disney/Hulu, HBO Max
Snabbmat: McDonald’s, KFC

Hur mycket pengar kräver hackarna?

Den exakta lösensumman har inte offentliggjorts, vilket är vanligt vid denna typ av utpressning (Hackread, 2025). Hackarna förhandlar individuellt med varje företag baserat på deras betalningsförmåga

Vad brukar ransomware-grupper kräva?

Baserat på tidigare attacker och branschdata brukar lösensummor vid omfattande dataläckor se ut så här:

För medelstora företag:

Genomsnitt i Sverige: 3 – 7 miljoner kronor
Globalt genomsnitt: 5 – 10 miljoner dollar

För storföretag som IKEA:

Vanligtvis: 50 – 200 miljoner kronor
Vid mycket stora läckor: 500 miljoner – 1 miljard kronor

Dubbel utpressning

I detta fall använder Scattered Lapsus$ Hunters en strategi kallad ”dubbel utpressning” (Security Boulevard, 2025):

Utpressning mot företagen – betala eller vi publicerar er kunddata
Utpressning mot Salesforce – betala så attackerar vi inte era 39 kunder, annars hjälper vi advokatbyråer att stämma er för GDPR-brott (Zorz, 2025)

Detta tryck från flera håll ökar chansen att någon betalar.

Potentiella konsekvenser för IKEA

Ekonomiska förluster

GDPR-böter: Enligt EU:s dataskyddsförordning kan böter uppgå till det högsta av (GDPR.eu, 2019):

20 miljoner euro (cirka 230 miljoner kronor), ELLER
4% av företagets globala årsomsättning

För IKEA, med en årsomsättning på flera hundra miljarder kronor globalt, kan det i värsta fall innebära böter på flera miljarder kronor om dataskyddsmyndigheten bedömer att företaget inte hade tillräckliga säkerhetsåtgärder (Secureframe, 2024).

Data Privacy Manager (2025) rapporterar att de största GDPR-böterna hittills inkluderar Meta med 1,2 miljarder euro och Amazon med 746 miljoner euro, vilket visar att tillsynsmyndigheter inte tvekar att döma enorma böter vid allvarliga överträdelser.

Vad säger IKEA och Salesforce?

IKEA har bekräftat att de utreder händelsen men vill inte kommentera detaljer:

Ingen bekräftelse av omfattningen
Ingen kommentar om lösenförhandlingar
Ingen bekräftelse av vilka länders kunder som drabbats

Salesforce förnekar bestämt att deras kärnplattform hackats och menar att:

Det handlar om ”tidigare eller obekräftade incidenter”
Problemet ligger i tredjepartsintegrationer och kunders egna säkerhetsbrister
De samarbetar med drabbade företag och myndigheter
De har pushsat ut säkerhetsuppdateringar och varningar

Kritiker menar dock att Salesforce har ett ansvar för att säkra sitt ekosystem av integrationer och att deras OAuth-hantering har uppenbara svagheter (Hackread, 2025, The Cyber Express, 2025)

Bör företag betala lösensumman?

Säkerhetsexperter och myndigheter avråder starkt från att betala av flera skäl:

Argument MOT att betala:

Ingen garanti att data raderas (kopior kan finnas)
Finansierar kriminell verksamhet
Gör företaget till en känd ”betalare” som riskerar fler attacker
Kan strida mot sanktioner (vissa hackargrupper är på terrorlistor)
Uppmanar andra hackargrupper att attackera samma företag

Argument FÖR att betala:

Kan minimera direkt skada om datan inte publiceras
Kan vara billigare än böter och rättegångskostnader
Vissa försäkringar täcker lösensumman

Verkligheten: Trots avrådan betalar många företag ändå. Sophos (2025) rapporterar att 41% av företag som drabbades av ransomware 2024 valde att betala. Bright Defense (2025) noterar dock att bara 25% av offren betalade i slutet av 2024, vilket är rekordlågt och indikerar en förändrad trend.

Tidslinje

April – augusti 2025: Hackarna genomför voice phishing-attacker och OAuth-exploatering (Rescana, 2025)
8 augusti 2025: Google och Salesforce upptäcker Salesloft Drift-intrånget och varnar kunder (Schwartz, 2025)
September 2025: Scattered Spider och Lapsus$ meddelar ”pensionering” efter polisens arresteringar (SOCRadar, 2025)
3 oktober 2025: Ny leak-site lanseras med 39 företag listade (The Cyber Express, 2025)
6 oktober 2025: Media rapporterar brett om attacken
10 oktober 2025: DEADLINE – hackarna hotar publicera all data (Zorz, 2025)

Så skyddar du ditt företag mot cyberattacker

Managed Detection and Response (MDR)

MDR-tjänster erbjuder kontinuerlig övervakning av ditt företags IT-miljö dygnet runt. Till skillnad från traditionella säkerhetslösningar som bara varnar när något redan hänt, arbetar MDR proaktivt med att upptäcka hot innan de hinner orsaka skada.

Vad MDR gör:

Realtidsövervakning av all nätverkstrafik och systemaktivitet
Experter som analyserar säkerhetslarm och skiljer verkliga hot från falska larm
Snabb respons när ett hot upptäcks – ofta inom minuter istället för dagar
Automatisk isolering av komprometterade system för att stoppa spridning
Detaljerad forensisk analys efter en incident

Är ditt företag förberett?

Attacken påminner oss om att cyberhot inte är en fråga om ”om” utan ”när”.

Kontakta oss idag så hjälper vi ditt företag →

Låt inte ditt företag bli nästa rubrik. Agera nu och säkra din framtid.

Referenser

Bright Defense (2025) 472 Ransomware Statistics for 2025. Tillgänglig vid: https://www.brightdefense.com/resources/ransomware-statistics/ (Hämtad: 9 oktober 2025).

Data Breach Search (2025) IKEA (Partial) | Salesforce 2025. Tillgänglig vid: https://databreach.com/breach/ikea-salesforce-2025 (Hämtad: 9 oktober 2025).

Data Privacy Manager (2025) 20 biggest GDPR fines so far [2025]. Tillgänglig vid: https://dataprivacymanager.net/5-biggest-gdpr-fines-so-far-2020/ (Hämtad: 9 oktober 2025).

DeepStrike (2025) Hackers Behind Salesforce Breach Publish Leak Site With 39 Victims. Tillgänglig vid: https://deepstrike.io/blog/hackers-behind-salesforce-breach-publish-leak-site-with-39-victims (Hämtad: 9 oktober 2025).

GDPR.eu (2019) What are the GDPR Fines? Tillgänglig vid: https://gdpr.eu/fines/ (Hämtad: 9 oktober 2025).

Hackread (2025) Scattered LAPSUS$ Hunters Claim Salesforce Breach, 1B Records, 39 Firms Listed. Tillgänglig vid: https://hackread.com/scattered-lapsus-hunters-salesforce-breach/ (Hämtad: 9 oktober 2025).

PurpleSec (2025) The Average Cost Of Ransomware Attacks (Updated 2025). Tillgänglig vid: https://purplesec.us/learn/average-cost-of-ransomware-attacks/ (Hämtad: 9 oktober 2025).

Rescana (2025) Scattered Lapsus$ Hunters Launch Data Leak Site Targeting Salesforce: Massive OAuth Supply Chain Breach Exposes 1 Billion Records. Tillgänglig vid: https://www.rescana.com/post/scattered-lapsus-hunters-launch-data-leak-site-targeting-salesforce-massive-oauth-supply-chain-bre (Hämtad: 9 oktober 2025).

Schwartz, M.J. (2025) ’Ransomware Group Debuts Salesforce Customer Data Leak Site’, Information Security Media Group, 3 oktober. Tillgänglig vid: https://www.bankinfosecurity.com/ransomware-group-debuts-salesforce-customer-data-leak-site-a-29636 (Hämtad: 9 oktober 2025).

SC Media (2025) ’New Scattered Lapsus$ Hunters escalates Salesforce extortion’, SC Media, 6 oktober. Tillgänglig vid: https://www.scworld.com/brief/new-scattered-lapsus-hunters-escalates-salesforce-extortion (Hämtad: 9 oktober 2025).

Secureframe (2024) GDPR Fines and Penalties. Tillgänglig vid: https://secureframe.com/hub/gdpr/fines-and-penalties (Hämtad: 9 oktober 2025).

Security Boulevard (2025) ’Scattered Lapsus$ Hunters Extorts Victims, Demands Salesforce Negotiate’, Security Boulevard, 6 oktober. Tillgänglig vid: https://securityboulevard.com/2025/10/scattered-lapsus-hunters-extorts-victims-demands-salesforce-negotiate/ (Hämtad: 9 oktober 2025).

SOCRadar (2025) Dark Web Profile: Scattered Lapsus$ Hunters. Tillgänglig vid: https://socradar.io/dark-web-profile-scattered-lapsus-hunters/ (Hämtad: 9 oktober 2025).

Sophos (2024) ’Ransomware Payments Increase 500% In the Last Year, Finds Sophos State of Ransomware Report’, Sophos Press Release, april. Tillgänglig vid: https://www.sophos.com/en-us/press/press-releases/2024/04/ransomware-payments-increase-500-last-year-finds-sophos-state (Hämtad: 9 oktober 2025).

Sophos (2025) 2025 Ransomware Report: State of Ransomware. Tillgänglig vid: https://www.sophos.com/en-us/content/state-of-ransomware (Hämtad: 9 oktober 2025).

The Cyber Express (2025) ’Scattered LAPSUS$ Hunters Leak Site Lists Salesforce Victims’, The Cyber Express, 6 oktober. Tillgänglig vid: https://thecyberexpress.com/scattered-lapsus-hunters-salesforce-victims/ (Hämtad: 9 oktober 2025).Zorz, Z. (2025) ’Hackers launch data leak site to extort 39 victims, or Salesforce’, Help Net Security, 6 oktober. Tillgänglig vid: https://www.helpnetsecurity.com/2025/10/06/data-leak-site-extortion-salesforce/ (Hämtad: 9 oktober 2025).