20 April 2026| Blog

Om ert företag blir utsatt för en ransomwareattack i morgon bitti – skulle ni betala?

350 000 företag. En IT-leverantör. Ett enda klick.

Och plötsligt visas ett krav på 5 miljoner dollar på skärmen. Vad gör du?

De svar du ger i dag kan vara avgörande för hur väl din organisation klarar en framtida ransomwareattack.

En torsdagsmorgon i december möts medarbetare på hundratals redovisningsbyråer, medicinska laboratorier och advokatkontor runt om i Frankrike av samma situation: ingenting fungerar. Servrarna är låsta, dokumenten otillgängliga och löneutbetalningar kan inte genomföras.

Orsaken finns inte i den egna verksamheten.

Under natten till den 7 december 2023 utsattes IT-tjänsteleverantören Coaxis för en omfattande ransomwareattack som slog ut företagets system. Eftersom Coaxis ansvarade för hela IT-infrastrukturen hos sina kunder påverkades även omkring 350 000 organisationer, som plötsligt stod utan tillgång till kritiska IT-tjänster.

Attacken mot Coaxis står i centrum för dokumentären Don't Go to the Police, där du får följa händelseförloppet inifrån.

Det är baksidan av outsourcing som sällan nämns i avtalen: om er leverantör drabbas, drabbas även ni. Bakom attacken stod LockBit, som vid den tiden var världens mest aktiva ransomwaregrupp. Kravet var tydligt: fem miljoner dollar.

Det här är inget hypotetiskt scenario. Det är verkligheten som organisationer har ställts inför under 2024 och 2025. Frågan som ledningsgrupper och beslutsfattare behöver ställa sig är därför inte om det kan hända dem, utan hur de kommer att agera när det väl gör det.

44%

LockBit stod bakom en betydande andel av alla ransomwareattacker världen över.

350K

Kunderna hos en och samma IT-leverantör slogs ut samtidigt.

$5M

Lösensumman krävdes, men ingen betalade. Skadorna blev ändå omfattande.

Fel fråga

Organisationer ställer sig nästan alltid samma fråga efter en ransomwareattack: ska vi betala eller inte?

Det är en naturlig fråga. Men det är fel fråga – vid fel tidpunkt.

De viktigaste frågorna borde ha ställts långt tidigare. Hur länge kan verksamheten fungera utan tillgång till sina system? Vem fattar vilka beslut, och på vilken information grundas de? Finns det offline-backuper som angriparna inte kan komma åt? Och hur kommunicerar ni med kunder och andra intressenter under de första 24 timmarna?

Coaxis valde till slut att inte betala lösensumman. Inte av ideologiska skäl, utan efter en pragmatisk bedömning. En betalning ökar risken för att bli måltavla igen, finansierar kriminell verksamhet och ger inga garantier för att verksamheten kan återställas fullt ut. I stället återuppbyggde Coaxis hela sin IT-miljö inom en månad, bland annat tack vare offline-backuper som hade varit utom angriparnas räckhåll.

Det finns inget sådant som ett fullständigt skydd mot ransomware. Det som avgör utfallet är hur mycket påverkan organisationen kan hantera – och hur snabbt den kan återhämta sig när attacken väl har inträffat.

Betala eller återuppbygga: vad siffrorna inte berättar

Den som betalar köper tid, inget mer än så. Betalning till sanktionerade grupper gör dessutom organisationer juridiskt sårbara i allt fler jurisdiktioner. LockBit använde samtidigt en taktik som kallas double extortion: utöver kryptering hotade de även med att publicera stulna data.

I fallet Coaxis visade sig hotet i slutändan vara en bluff. Ingen data hade faktiskt stulits. Men det visste man först i efterhand, veckor senare, efter att utredare hade infiltrerat LockBits system.

Under tiden hade Coaxis kunder ingen förståelse för dessa nyanser. Löner kunde inte betalas ut. Patientjournaler var otillgängliga. Medarbetare som själva inte gjort något fel ringde desperat till sina arbetsgivare, som i sin tur inte kunde göra något eftersom IT-partnern låg nere. Vissa utsattes för hot.

Den mänskliga kostnaden av en enda attack på en enda länk i kedjan spred sig därmed till hundratusentals människor.

Beslut vid en ransomwareincident

Vad du riskerar när du betalar	Förutsättningar för återuppbyggnad
Ni signalerar att ni är beredd att betala, vilket kan göra er till ett återkommande mål Möjlig juridisk exponering vid betalning till sanktionerade aktörer Finansiering av ytterligare attacker mot andra organisationer Hot (double extortion) kan fortsätta även efter betalning Reputationsskador om betalningen blir känd	Offlinebackuper som är utom räckhåll för angriparen En dokumenterad incident response-plan Ett tydligt kommunikationsprotokoll gentemot kunder En ekonomisk buffert eller involvering av en cyberförsäkring En beredskap att tillfälligt acceptera operativ påverkan

Vad du riskerar när du betalar

Förutsättningar för återuppbyggnad

Ni signalerar att ni är beredd att betala, vilket kan göra er till ett återkommande mål
Möjlig juridisk exponering vid betalning till sanktionerade aktörer
Finansiering av ytterligare attacker mot andra organisationer
Hot (double extortion) kan fortsätta även efter betalning
Reputationsskador om betalningen blir känd

Offlinebackuper som är utom räckhåll för angriparen
En dokumenterad incident response-plan
Ett tydligt kommunikationsprotokoll gentemot kunder
En ekonomisk buffert eller involvering av en cyberförsäkring
En beredskap att tillfälligt acceptera operativ påverkan

Samtalet ni behöver ha med era kunder

För IT-tjänsteleverantörer och andra organisationer med en bred kundportfölj är detta ofta den mest utmanande delen. Coaxis var inte bara själv ett offer, utan bar också ansvaret för kontinuiteten hos tusentals andra företag. I samma ögonblick som Coaxis drabbades sattes hela kedjan under press.

Fallet visar att öppen kommunikation inte är ett PR-val, utan en operativ nödvändighet. Kunder som förstår vad som händer kan själva vidta kompletterande åtgärder. Kunder som inte får någon information fyller tomrummet med rykten och oro, och lämnar så snart de får möjlighet.

Budskapet behöver inte vara komplett från dag ett. Men det måste vara ärligt. Vi har blivit drabbade. Det här vet vi. Det här gör vi. Så här och när vi återkommer till er. Fyra meningar som kan bevara förtroende medan allt annat är under press.

Den mänskliga faktorn och varför teknik i sig inte räcker

Attacken mot Coaxis började inte med en avancerad zero-day-sårbarhet. Den började med ett nätfiskemejl. En medarbetare hos en av kunderna klickade på en länk, angav sina inloggningsuppgifter på en falsk webbplats och gav därmed angriparna nyckeln till hela nätverket. Lösenordet: troligen ett barns namn, följt av en siffra och ett utropstecken. LockBit var inne.

Detta är paradoxen i modern cybersäkerhet: världens mest avancerade attackgrupper utnyttjar i första hand mänskliga beteenden. Stress. Förtroende. Förutsägbarhet. Ingen brandvägg skyddar mot det utan rätt medvetenhetskultur. Och ingen IT-tjänsteleverantör kan fullt ut skydda sina kunder om kunderna själva öppnar dörren.

Att dra lärdom av en attack som man inte själv är med om.

Coaxis är inte den enda organisation som har varit med om detta. Och de organisationer som har kommit starkast ur sådana situationer drar alla samma slutsats: förberedelserna måste börja innan något går fel.

Vi kan också lära oss av den ransomwareattack som Q-Park drabbades av 2017. Samma år slog WannaCry-ransomware till mot företaget i sju länder samtidigt. Betalningssystem slutade fungera, bommar kunde inte längre styras och verksamheten hamnade i kaos. Skadorna var betydande, men konsekvenserna hade kunnat bli mycket värre.

Det som följde var inte bara en återställningsinsats. Det var en genomgripande kursändring. Q-Park beslutade att cybersäkerhet inte längre var förhandlingsbar – varken på landsnivå eller mellan olika avdelningar. Alla skulle följa samma arbetssätt, utan undantag. Och CISO:n var inte längre en isolerad funktion, utan en fast strategisk samtalspartner för den högsta ledningen.

Den lärdom som vd:n Frank De Moor och interim-CISO:n Tom van Vooren drog är en fråga som varje organisation bör ställa sig: Vilka risker är ni beredda att acceptera, och hur mycket är ni villiga att investera för att begränsa dem?