{"id":160,"date":"2026-06-21T21:00:50","date_gmt":"2026-06-21T21:00:50","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/21\/forticlient-ems-cve-2026-48720-infostjeler-2026\/"},"modified":"2026-06-28T23:49:03","modified_gmt":"2026-06-28T23:49:03","slug":"forticlient-ems-cve-2026-48720-infostjeler-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/forticlient-ems-cve-2026-48720-infostjeler-2026\/","title":{"rendered":"FortiClient EMS CVE-2026-48720: Infostjelere Herjet Norske Bedriftsnettverk [2026]"},"content":{"rendered":"\n

Kritisk s\u00e5rbarhet i FortiClient EMS ble aktivt utnyttet 28. mai 2026 for \u00e5 installere infostjeler-skadevare direkte i bedriftsnettverk verden over.<\/strong> Angrepet, sporet under CVE-2026-48720, ga trusselakt\u00f8rer med admin-tilgang mulighet til \u00e5 kj\u00f8re ondsinnet kode eksternt og hente ut legitimasjon, sensitiv forretningsinformasjon og interne systemtilganger. Norske og nordiske virksomheter befinner seg i faresonen: if\u00f8lge DNVs Nordiske Cyberresiliensrapport 2026 opplevde nordiske organisasjoner en historisk oppgang i lekkasjer av bedriftscredentials p\u00e5 m\u00f8rke nettet gjennom 2025 og inn i 2026.<\/p>\n\n\n\n

FortiClient EMS (Endpoint Management Server) er et sentralt styringssystem for endepunkter som brukes av tusenvis av bedrifter globalt, inkludert i Norden. N\u00e5r angripere kompromitterer EMS, f\u00e5r de ikke bare tilgang til ett system, de f\u00e5r n\u00f8klene til hele bedriftens endepunktinfrastruktur. Skadevaren som ble deployet via CVE-2026-48720 stjal aktivt innloggingsdata, sensitiv virksomhetsdata og \u00e5pnet d\u00f8rene for dypere nettverkspenetrasjon.<\/p>\n\n\n\n

Angrepet inntreffer i et bredere trusselbilde der infostjelere, phishing-kampanjer og dobbelt-utpressende ransomware rammer nordiske bedrifter fra flere kanter samtidig. Denne analysen ser n\u00e6rmere p\u00e5 CVE-2026-48720, de parallelle truslene HookedWing og BAVACAI-ransomware, og hva norske virksomheter b\u00f8r gj\u00f8re umiddelbart.<\/p>\n\n\n\n

Hva er FortiClient EMS og hvorfor er det et kritisk m\u00e5l?<\/h2>\n\n\n\n

FortiClient Endpoint Management Server er Fortinets sentraliserte plattform for administrasjon av FortiClient-installasjoner p\u00e5 tvers av bedriftsenheter. Via EMS distribuerer sikkerhetsteam konfigurasjon, retningslinjer og sikkerhetsoppdateringer til tusenvis av sluttpunkter fra ett enkelt grensesnitt. Det gj\u00f8r EMS til et ekstremt attraktivt m\u00e5l: kompromitterer en angriper EMS-serveren, f\u00e5r vedkommende kontroll over hele den administrerte enhetsparken.<\/p>\n\n\n\n

Fortinets produkter er utbredt i norsk og nordisk n\u00e6ringsliv, offentlig sektor og kritisk infrastruktur. Mange norske kommuner, helseforetak og energiselskaper benytter Fortinet-produkter som en del av sin nettverkssikkerhetsarkitektur. Det betyr at en kritisk s\u00e5rbarhet i FortiClient EMS ikke bare rammer \u00e9n bedrift, men potensielt hele sektorer.<\/p>\n\n\n\n

Sofie Nystr\u00f8m, direkt\u00f8r i Nasjonal sikkerhetsmyndighet (NSM), har understreket at norske virksomheter m\u00e5 ta sikkerheten i forsyningskjeden p\u00e5 alvor: \u00abAngripere utnytter i stadig st\u00f8rre grad felles infrastruktur og administrasjonsverkt\u00f8y for \u00e5 kompromittere mange ofre p\u00e5 en gang. Virksomheter som deler plattformer, deler ogs\u00e5 sikkerhetsrisiko.\u00bb EMS er nettopp en slik plattform, og CVE-2026-48720 demonstrerer at angripere er godt klar over dette.<\/p>\n\n\n\n

CVE-2026-48720: Slik fungerte angrepet mot bedriftsnettverkene<\/h2>\n\n\n\n

CVE-2026-48720 ble dokumentert av sikkerhetssporere 28. mai 2026 og klassifisert som kritisk. Angripere med admin-tilgang til FortiClient EMS-serveren utnyttet s\u00e5rbarheten til \u00e5 kj\u00f8re vilk\u00e5rlig kode eksternt. Resultatet: infostjeler-skadevare ble installert p\u00e5 administrerte endepunkter uten at brukerne merket noe.<\/p>\n\n\n\n

Infostjelerne som ble deployet via CVE-2026-48720 er designet for \u00e5 operere stille i bakgrunnen. De tapper automatisk lagrede passord fra nettlesere, VPN-credentials, SSH-n\u00f8kler, API-tokens og interne systemtilganger. Innsamlet data sendes kryptert til angripernes kommando-og-kontroll-infrastruktur, ofte via legitime cloud-tjenester for \u00e5 unng\u00e5 nettverksfiltrering.<\/p>\n\n\n\n

Infostjelerens tre-fase-metodikk<\/h3>\n\n\n\n

Infostjelere deployet via EMS-s\u00e5rbarheter opererer i tre faser. Fase 1 (tilgang):<\/strong> Angriperen kompromitterer EMS-serveren, enten via CVE-2026-48720 direkte eller via stj\u00e5lne admin-credentials. Fase 2 (distribusjon):<\/strong> Skadevaren distribueres til administrerte klientenheter som en tilsynelatende legitim konfigurasjonsoppdatering. Fase 3 (eksfiltrering):<\/strong> Innstj\u00e5lne credentials og data sendes til C2-infrastruktur, og angriperen bruker de stj\u00e5lne tilgangene til lateral bevegelse i nettverket.<\/p>\n\n\n\n

Kevin Beaumont, uavhengig sikkerhetsforsker og tidligere Microsoft-analytiker, har observert dette m\u00f8nsteret gjentatte ganger i Fortinet-relaterte hendelser: \u00abFortinets administrasjonsverkt\u00f8y er et prioritert m\u00e5l fordi de sitter i hjertet av nettverksinfrastrukturen. \u00c9n kompromittert admin-server gir tilgang til alt bak den. Angripere vet dette og bruker ressurser p\u00e5 \u00e5 finne null-dagss\u00e5rbarheter i akkurat disse komponentene.\u00bb<\/p>\n\n\n\n

Angrepsvektoren er s\u00e6rlig bekymringsfull fordi FortiClient EMS i mange bedrifter er eksponert mot internett for \u00e5 muliggj\u00f8re fjernarbeidsadministrasjon. Under og etter pandemien \u00f8kte antallet bedrifter som eksponerer EMS mot internett markant, noe som har utvidet angrepsflaten betraktelig.<\/p>\n\n\n\n

HookedWing: Google, Microsoft og GitHub brukt som lokkemidler<\/h2>\n\n\n\n

Parallelt med CVE-2026-48720-utnyttelsen ble den nye phishing-operasjonen HookedWing lagt til trusseldeteksjonssystemer i mai 2026. HookedWing oppretter overbevisende falske innloggingssider som etterligner Google-, Microsoft- og GitHub-portaler for \u00e5 stjele credentials og kapre nettlesersesjoner. Operasjonen illustrerer en voksende trend: angripere kombinerer teknisk s\u00e5rbarhetsutnyttelse med sosialteknikk for \u00e5 maksimere effekten.<\/p>\n\n\n\n

HookedWing-sidene er teknisk sofistikerte. De bruker ekte TLS-sertifikater, domener som visuelt ligner legitime tjenester, og inneholder dynamisk generert innhold tilpasset offerets spr\u00e5k og geografiske plassering. En norsk ansatt som klikker p\u00e5 en phishing-lenke ser en perfekt norsk Microsoft-innloggingsside, komplett med norsk spr\u00e5kdrakt og lokaliserte feilmeldinger.<\/p>\n\n\n\n

If\u00f8lge NetNordics analyse av nordiske dark web-lekkasjer<\/a> opplevde nordiske organisasjoner en historisk oppgang i eksponerte credentials og sensitiv bedriftsdata p\u00e5 m\u00f8rke nettet i 2025. HookedWing-kampanjen treffer et marked allerede mettet med stj\u00e5lne nordiske credentials og gir angripere enda flere gyldige innloggingsdata til kombinasjonsangrep.<\/p>\n\n\n\n

Kombinasjonen er farlig: angripere bruker HookedWing til \u00e5 skaffe seg gyldige admin-credentials til FortiClient EMS, og bruker deretter CVE-2026-48720 til \u00e5 deploye infostjelere p\u00e5 klientenhetene. To separate angrepsvektorer forsterker hverandre og \u00f8ker sjansen for vellykket penetrasjon betraktelig.<\/p>\n\n\n\n

BAVACAI-ransomware: Dobbel utpressing med 72-timers frist<\/h2>\n\n\n\n

En tredje trussel som rammer nordiske bedrifter i samme periode er BAVACAI-ransomware, en ny MedusaLocker-basert variant oppdaget 5. mai 2026. BAVACAI kombinerer to angrepsmekanismer: filer krypteres og gj\u00f8res utilgjengelige, og sensitiv data stjeles og trues lekket offentlig innen 72 timer hvis l\u00f8sepenger ikke betales.<\/p>\n\n\n\n

Dobbel utpressingstaktikken er industristandarden for moderne ransomware-grupper fordi den fjerner bedriftens alternativ om \u00e5 bare gjenopprette fra backup. Selv om IT-teamet klarer \u00e5 gjenopprette krypterte filer, er trusselen om datalekkasje fortsatt reell. GDPR-b\u00f8ter for dataeksponering, skader p\u00e5 omd\u00f8mme og tapt kundetillit kan overstige l\u00f8sepengebel\u00f8pet betraktelig.<\/p>\n\n\n\n

MedusaLocker-familien er kjent for \u00e5 m\u00e5lrette seg mot virksomheter med svak nettverkssegmentering, der ransomware kan spre seg raskt fra \u00e9n kompromittert maskin til hele nettverket. Bedrifter der FortiClient EMS er kompromittert via CVE-2026-48720 er s\u00e6rlig s\u00e5rbare: angriperne har allerede bred tilgang til nettverkstopologien og kan plante BAVACAI strategisk for \u00e5 maksimere skaden.<\/p>\n\n\n\n

\u00abRansomware-operasjoner i 2026 er ikke lenger enmannsjobber,\u00bb sier Gaute Wangen, professor i informasjonssikkerhet ved NTNU. \u00abVi ser h\u00f8yt profesjonaliserte kriminelle grupper som spesialiserer seg p\u00e5 ulike deler av angrepskjeden. Noen skaffer tilgang, noen deployer skadevare, noen h\u00e5ndterer forhandlinger. CVE-2026-48720 og BAVACAI kan godt v\u00e6re produkter av to separate grupper som samarbeider om tilgang og distribusjon.\u00bb<\/p>\n\n\n\n

Nordiske bedrifter i faresonen: Statistikk og eksponeringsrisiko<\/h2>\n\n\n\n

DNVs Nordiske Cyberresiliensrapport 2026 tegner et klart bilde av trussellandskapet i regionen. Norge registrerte 21 sikkerhetshendelser mot norske organisasjoner i 2025, sammenlignet med 60 i Sverige, 44 i Finland og 41 i Danmark. P\u00e5 overflaten ser norske tall positive ut, men ekspertene advarer mot \u00e5 tolke lavere hendelsestall som tegn p\u00e5 bedre sikkerhet snarere enn underrapportering.<\/p>\n\n\n\n

Norges eksponeringsrisiko: Energisektoren i sentrum<\/h3>\n\n\n\n

Norge er Europas st\u00f8rste energiprodusent og hjem til kritisk olje-, gass- og vannkraftinfrastruktur. Dette gj\u00f8r norske virksomheter til h\u00f8yverdi-m\u00e5l for statlige akt\u00f8rer og kriminelle grupper. NSM bekreftet i februar 2026 at Salt Typhoon-kampanjen fra Kina kompromitterte norsk kritisk infrastruktur. FortiClient EMS er utbredt i energisektoren, og CVE-2026-48720 representerer en direkte risiko for operasjonell teknologi (OT)-milj\u00f8er der EMS administrerer sikkerhetsendepunkter.<\/p>\n\n\n\n

PwC Nordics rapport om cybersikkerhetsmarkedet fastsl\u00e5r at den nordiske cybersikkerhetssektoren er posisjonert for sterk langsiktig vekst med tosifrede inntekts\u00f8kninger. Markedet reagerer p\u00e5 en reell \u00f8kning i trusselniv\u00e5. Norske bedrifter investerer mer i sikkerhet, men angriperne utvikler seg minst like raskt og utnytter eksisterende plattformer som FortiClient EMS.<\/p>\n\n\n\n

Land<\/th>Cyberhendelser (2025)<\/th>UN ITU-rangering (globalt)<\/th>Prim\u00e6re trusselakt\u00f8rer<\/th>Kritiske sektorer<\/th><\/tr><\/thead>
Norge<\/td>21<\/td>17. plass<\/td>Statlige (Kina, Russland), kriminelle<\/td>Energi, maritim, olje og gass<\/td><\/tr>
Sverige<\/td>60<\/td>26. plass<\/td>Statlige, ransomware-grupper<\/td>Forsvar, telekom, helse<\/td><\/tr>
Finland<\/td>44<\/td>22. plass<\/td>Russland-tilknyttede grupper<\/td>Telekom, regjering, helse<\/td><\/tr>
Danmark<\/td>41<\/td>N\/A<\/td>Kriminelle grupper, hacktivister<\/td>Shipping, energi, finans<\/td><\/tr><\/tbody>
Kilde: DNV Nordisk Cyberresiliensrapport 2026, UN ITU Global Cybersecurity Index<\/td><\/tr><\/tfoot><\/table><\/figure>\n\n\n\n

M\u00f8rke-web-lekkasjer av nordiske credentials p\u00e5 historisk topp<\/h2>\n\n\n\n

Lekkede credentials er drivstoffet for angrep som CVE-2026-48720. NetNordic dokumenterte at nordiske organisasjoner i 2025 opplevde en historisk \u00f8kning i eksponerte innloggingsdata og sensitiv bedriftsdata p\u00e5 m\u00f8rke nettet. Angripere samler credentials fra phishing-kampanjer, tidligere databrudd og infostjeler-skadevare, og selger dem videre p\u00e5 kriminelle markedsplasser.<\/p>\n\n\n\n

En admin-bruker med gjenbrukte passord fra et gammelt databrudds-lekkasj\u0435 kan, uten \u00e5 vite om det, gi angriperne n\u00f8kkelen til FortiClient EMS-administrasjonspanelet. Derfra er veien kort til \u00e5 utnytte CVE-2026-48720 og kompromittere hele nettverket. Credential-gjenbruk er en av de mest effektive angrepsvektorene fordi den kombinerer gammel eksponering med nye s\u00e5rbarheter.<\/p>\n\n\n\n

NJCCIC (New Jersey Cybersecurity and Communications Integration Cell) fastsl\u00e5r at tyveri og misbruk av innloggingsdata er den mest vedvarende og gjennomgripende cybertrusselen inn i 2026. Den enkle \u00e5rsaken er skalerbarhet: angripere automatiserer credential stuffing mot hundrevis av systemer med minimale ressurser. For norske bedrifter med eksponerte EMS-servere og svake passordrutiner er kombinasjonen av HookedWing-phishing og CVE-2026-48720 en konkret og umiddelbar trussel.<\/p>\n\n\n\n

ForumNordic konkluderer i sin analyse av norsk kritisk infrastruktur<\/a> at Norges neste kapittel innen cyberforsvar ikke handler om \u00e5 koble til flere systemer, men om \u00e5 hermetisere de som allerede driver landet. Credential-lekkasjer er nettopp den typen angrepsvektor som undergraver hardening-arbeidet n\u00e5r grunnleggende tilgangsstyring er svak.<\/p>\n\n\n\n

Hva koster et databrudd i 2026? 4,44 millioner dollar i globalt snitt<\/h2>\n\n\n\n

IBMs Cost of a Data Breach-rapport for 2026 fastsetter den globale gjennomsnittskostnaden ved et databrudd til 4,44 millioner dollar. I USA er gjennomsnittet historisk h\u00f8yt med 10,22 millioner dollar per hendelse. For ransomware-hendelser, som BAVACAI representerer, er gjennomsnittskostnaden 5,08 millioner dollar per brudd.<\/p>\n\n\n\n

Disse tallene inkluderer direkte kostnader som gjenoppretting, juridisk bistand og regulatorisk b\u00f8telegging, og indirekte kostnader som tapte kunder, skader p\u00e5 merkevare og redusert forhandlingsstyrke. I Europa legger GDPR-regelverket et ekstra kostnadselement til: dataeksponering som involverer personopplysninger utl\u00f8ser rapporteringsplikt innen 72 timer og potensielle b\u00f8ter p\u00e5 opptil 4 prosent av global omsetning.<\/p>\n\n\n\n

Virksomheter med AI-drevet sikkerhet og automatisering sparer i snitt 1,9 millioner dollar per databrudd sammenlignet med virksomheter uten slike verkt\u00f8y, en reduksjon p\u00e5 34 prosent. Tredjeparts-leverand\u00f8rinvolvering i brudd har doblet seg til 30 prosent av alle hendelser (IBM 2026), noe som er direkte relevant for FortiClient EMS-scenariet der Fortinet er leverand\u00f8r av sikkerhetsprogramvare.<\/p>\n\n\n\n

Trusselen<\/th>Type<\/th>Oppdaget<\/th>Prim\u00e6r metode<\/th>M\u00e5l<\/th><\/tr><\/thead>
CVE-2026-48720<\/td>Kritisk s\u00e5rbarhet (FortiClient EMS)<\/td>28. mai 2026<\/td>Infostealer-deploying via EMS<\/td>Bedriftsnettverk og endepunkter<\/td><\/tr>
HookedWing<\/td>Phishing-kampanje<\/td>Mai 2026<\/td>Falske Google\/Microsoft\/GitHub-sider<\/td>Credentials og nettlesersesjoner<\/td><\/tr>
BAVACAI<\/td>Ransomware (MedusaLocker)<\/td>5. mai 2026<\/td>Filkryptering og datatyveri<\/td>Filer, backup og sensitiv data<\/td><\/tr>
Nordiske dark web-lekkasjer<\/td>Credential-eksponering<\/td>2025 (p\u00e5g\u00e5ende)<\/td>Kj\u00f8p\/salg av stj\u00e5lne legitimasjon<\/td>Alle nordiske virksomheter<\/td><\/tr>
Infostealer-kampanjer<\/td>Skadevare<\/td>P\u00e5g\u00e5ende 2026<\/td>Automatisk credential-innhenting<\/td>Browser, VPN, SSH, API-n\u00f8kler<\/td><\/tr><\/tbody>
Kilde: CM-Alliance Biggest Cyber Attacks May 2026, NetNordic Credential Leak Analysis 2025<\/td><\/tr><\/tfoot><\/table><\/figure>\n\n\n\n

Fortinets s\u00e5rbarhetsm\u00f8nster: Et gjentakende sikkerhetsutfordring<\/h2>\n\n\n\n

CVE-2026-48720 er ikke Fortinets f\u00f8rste m\u00f8te med kritiske s\u00e5rbarheter i produktlinjen. FortiBleed-hendelsen eksponerte 86.644 FortiGate-brannmurer i 194 land og demonstrerte at Fortinet-produkter er i s\u00f8kelyset til avanserte trusselakt\u00f8rer. FortiClient EMS er et annet produkt, men m\u00f8nsteret er det samme: kritiske feil i administrasjonsgrensesnittet gir angriperne masseskalaadgang.<\/p>\n\n\n\n

Fortinets Threat Intelligence Team understreker viktigheten av umiddelbar patching: \u00abAlle kunder med eksponerte FortiClient EMS-installasjoner b\u00f8r umiddelbart isolere systemet fra internett og applikere sikkerhetspatcher s\u00e5 snart de er tilgjengelige. Systemer som ikke kan patches umiddelbart b\u00f8r betraktes som kompromitterte til det motsatte er bevist.\u00bb<\/p>\n\n\n\n

Patching av EMS-servere er komplisert i praksis. EMS administrerer endepunkter, og en feil oppdatering kan avbryte klientforbindelsene til tusenvis av enheter. Mange IT-avdelinger er tilbakeholdne med \u00e5 putte produksjonssystemer gjennom hastigpatching, noe angriperne er godt klar over. Vindusperioden mellom CVE-avsl\u00f8ring og bred patching-dekning er nettopp der trusselakt\u00f8rene opererer mest aggressivt.<\/p>\n\n\n\n

CISA beordret ved Ivanti EPMM-s\u00e5rbarheten CVE-2026-1340 amerikanske f\u00f8derale etater til \u00e5 patche innen fire dager. Norges NSM har tilsvarende rask kommunikasjon om kritiske s\u00e5rbarheter via sine varslingssystemer. Norske virksomheter som abonnerer p\u00e5 NSMs sikkerhetsvarsler mottar umiddelbar informasjon ved nye trusler og s\u00e5rbarhetsvarsler.<\/p>\n\n\n\n

INTERPOL slo til: 45.000 kriminelle IP-adresser nedtatt i 72 land<\/h2>\n\n\n\n

I mars 2026 gjennomf\u00f8rte INTERPOL en koordinert operasjon i 72 land som resulterte i nedtaking av over 45.000 ondsinnede IP-adresser og servere koblet til phishing, skadevare og credential-tyveri. Operasjonen er en av de mest omfattende internasjonale cyberoperasjonene noensinne og viser at rettsh\u00e5ndhevelse er i ferd med \u00e5 skalere opp svaret p\u00e5 den voksende cybertrusselen.<\/p>\n\n\n\n

For norske og nordiske virksomheter har INTERPOL-operasjonen to viktige implikasjoner. Kriminell infrastruktur brytes ned, men operasjonene tilpasser seg raskt. Trusselakt\u00f8rene bak HookedWing og infostjeleroperasjonene knyttet til CVE-2026-48720 er sannsynligvis ikke blant de 45.000 nedtatte nodene, men de opererer i et kriminelt \u00f8koystem der nedetid for infrastruktur er kortvarig, ofte bare timer.<\/p>\n\n\n\n

Norsk deltakelse i internasjonale cyberpolitioperasjoner er avgj\u00f8rende. Kripos og NSM samarbeider tett med Europol og INTERPOL for \u00e5 sikre at norske etterretningsdata bidrar til globale takedown-operasjoner. Denne typen samarbeid er ikke bare reaktiv, det er en aktiv form for nasjonal cyberforsvar der norsk trusseletterretning styrker den internasjonale responsen.<\/p>\n\n\n\n

CM-Alliances oversikt over mai 2026s st\u00f8rste cyberangrep<\/a> dokumenterer at mai 2026 var en av de mest intensive m\u00e5nedene for cyberhendelser hittil dette \u00e5ret, med store angrep mot Instructure, Mediaworks, Taiwan High Speed Rail, OpenAI og Vimeo. Norske virksomheter er ikke isolert fra disse globale b\u00f8lgene.<\/p>\n\n\n\n

Norges nye cyberforsvarsstrategi: Herdede systemer fremfor nye forbindelser<\/h2>\n\n\n\n

Norsk cyber-politikk er i et vannskille. PST bekreftet i februar 2026 at Salt Typhoon-kampanjen fra Kina kompromitterte norsk kritisk infrastruktur. Responsen fra norske myndigheter har v\u00e6rt tydelig: Norges neste kapittel innen cyberforsvar handler ikke om \u00e5 koble til enda flere systemer, men om \u00e5 hermetisere og herje de eksisterende.<\/p>\n\n\n\n

Norges Forskningsr\u00e5d lanserte i 2026 et eget program for samfunnssikkerhet og beredskap rettet spesifikt mot digital motstandsdyktighet i kritisk infrastruktur. Programmet dekker kriser som truer samfunnets grunnleggende funksjoner, en direkte respons p\u00e5 trusler som Salt Typhoon og det voksende omfanget av statlig og kriminell cyberaktivitet.<\/p>\n\n\n\n

NSMs direkt\u00f8r Sofie Nystr\u00f8m har gjentatt at norske virksomheter m\u00e5 bygge sin sikkerhetstenkning rundt antagelse om kompromittering: \u00abVi anbefaler at norske virksomheter opererer ut fra en grunnforutsetning om at angripere allerede kan ha tilgang til deler av nettverket. Tidlig deteksjon, god nettverkssegmentering og rask respons er mer verdifullt enn \u00e5 tro at perimetersikkerheten er ugjennomtrengelig.\u00bb<\/p>\n\n\n\n

For FortiClient EMS-eksponerte virksomheter betyr denne strategiendringen at de ikke kan vente p\u00e5 at leverand\u00f8ren l\u00f8ser problemet alene. Virksomheter med FortiClient EMS i produksjon b\u00f8r umiddelbart gjennomg\u00e5 om EMS-serveren er direkte tilgjengelig fra internett og vurdere om eksisterende tilgangskontroll er sterk nok til \u00e5 motst\u00e5 kombinerte credential- og tekniske angrep.<\/p>\n\n\n\n

Hva norske virksomheter b\u00f8r gj\u00f8re umiddelbart<\/h2>\n\n\n\n

Virksomheter med FortiClient EMS i sin infrastruktur b\u00f8r f\u00f8lge disse prioriterte stegene:<\/p>\n\n\n\n

    \n
  1. Isoler EMS fra internett<\/strong> der dette er operativt mulig. Tilgang til EMS b\u00f8r kun skje via VPN eller zero trust network access (ZTNA) med sterk multifaktorautentisering (MFA).<\/li>\n
  2. Sjekk tilgjengelig patch for CVE-2026-48720<\/strong> fra Fortinet og applik\u00e9r den uten forsinkelse. Abonner p\u00e5 Fortinets PSIRT-varsler for automatisk informasjon om sikkerhetsoppdateringer.<\/li>\n
  3. Gjennomf\u00f8r credential-revisjon.<\/strong> Endre alle admin-passord til FortiClient EMS og tving endring av brukerpassord for alle administrerte endepunkter. Sjekk om admin-credentials har dukket opp i kjente dark web-databaser via HaveIBeenPwned eller tilsvarende tjenester.<\/li>\n
  4. Revider nettverkslogger<\/strong> for anomal aktivitet i perioden rundt 28. mai 2026 og fremover. Tegn p\u00e5 kompromittering inkluderer uvanlig outbound-trafikk, nye admin-p\u00e5logginger p\u00e5 uventede tidspunkter og klientenheter som kommuniserer med ukjente IP-adresser.<\/li>\n
  5. Aktiver EDR-l\u00f8sninger p\u00e5 alle administrerte endepunkter.<\/strong> EDR (Endpoint Detection and Response) kan oppdage infostjeler-atferd som unormal datautpakking og eksfiltrering, selv etter at skadevaren er installert.<\/li>\n
  6. Tren ansatte p\u00e5 HookedWing-taktikker.<\/strong> Phishing-simulering mot falske Google- og Microsoft-portaler b\u00f8r inkluderes i virksomhetens sikkerhetsoppl\u00e6ring. IT- og sikkerhetsansatte er spesifikke m\u00e5l fordi de har privilegerte tilganger til systemer som FortiClient EMS.<\/li>\n
  7. Implementer og test offline-backups<\/strong> som forsvar mot BAVACAI-scenariet. Offline og krypterte backups som testes jevnlig er det eneste effektive vernet mot dobbel-utpressende ransomware med 72-timers lekkasjefrist.<\/li>\n<\/ol>\n\n\n\n

    NSMs aktuelle sikkerhetsvarsler<\/a> er en uunnv\u00e6rlig ressurs for norske virksomheter som vil holde seg oppdatert p\u00e5 kritiske s\u00e5rbarheter og norsk trusselbilde. NSM publiserer m\u00e5lrettede varsler til registrerte virksomheter og sektorer ved kritiske hendelser som CVE-2026-48720.<\/p>\n\n\n\n

    Ekspertanalyse: AI-drevet sikkerhet reduserer bruddkostnad med 34 prosent<\/h2>\n\n\n\n

    IBM-statistikken viser at virksomheter med AI-drevet sikkerhetsautomatisering sparer 34 prosent p\u00e5 bruddkostnader. For norske bedrifter er implikasjonen klar: investering i moderne Security Operations Center (SOC)-plattformer med AI-drevet trusseldeteksjon betaler seg raskt n\u00e5r ett enkelt brudd koster 4,44 millioner dollar i gjennomsnitt.<\/p>\n\n\n\n

    Ransomware er n\u00e5 tilstede i 44 prosent av alle databrudd (Verizon DBIR), opp fra 32 prosent tidligere. Angrep via tredjepartsleverand\u00f8rer og forsyningskjeden utgj\u00f8r 30 prosent av hendelsene og har doblet seg p\u00e5 ett \u00e5r. FortiClient EMS faller rett inn i forsyningskjedekategorien: Fortinet er leverand\u00f8ren, og et angrep via EMS er et forsyningskjedeangrep mot alle kundene som bruker produktet.<\/p>\n\n\n\n

    StationX sin oversikt over 2026s bruddstatistikk<\/a> gir et verdifullt overblikk: 68 prosent av alle brudd involverer menneskelige faktorer, enten feil, sosial manipulasjon eller misbruk. Dette understreker at tekniske sikkerhetstiltak alene er utilstrekkelig. Treningsprogrammer, bevisstgj\u00f8ring og klare prosedyrer er like viktige som patcher og brannmurer, og virksomheter som investerer i begge deler reduserer bruddrisikoen mest effektivt.<\/p>\n\n\n\n

    Fem sp\u00e5dommer for andre halv\u00e5r 2026<\/h2>\n\n\n\n

    1. FortiClient EMS-utnyttelse intensiveres de neste 90 dagene.<\/strong> Historiske m\u00f8nstre viser at angripere masseutnytter kjente kritiske CVEer i 30 til 90 dager etter offentliggj\u00f8ring. Virksomheter som ikke patcher EMS innen sommeren 2026 er spesielt utsatt.<\/p>\n\n\n\n

    2. HookedWing-metoden adopteres av ransomware-as-a-service-grupper.<\/strong> Den tekniske kvaliteten p\u00e5 sesjonshijacking og credential-tyveri via falske bedriftssider er h\u00f8y. Metodikken vil sannsynligvis spres i kriminelle underjordiske markedsplasser der phishing-kits selges som abonnementer.<\/p>\n\n\n\n

    3. BAVACAI-lignende dobbel-utpressingsmodeller dominerer andre halv\u00e5r 2026.<\/strong> MedusaLocker-familien er modul\u00e6r og enkel \u00e5 tilpasse. Kombinasjonen av filkryptering og 72-timers datatrussel vil kopieres av konkurrerende ransomware-grupper.<\/p>\n\n\n\n

    4. Norsk energisektor forblir prioritert m\u00e5l.<\/strong> Med Norges posisjon som Europas energileverand\u00f8r, \u00f8kt geopolitisk spenning og dokumenterte statlige angrep mot norsk infrastruktur vil trusselaktiviteten mot energi, maritim og olje\/gass-sektoren holde seg h\u00f8y gjennom 2026.<\/p>\n\n\n\n

    5. Nordiske sikkerhetsinvesteringer akselererer i andre halv\u00e5r 2026.<\/strong> PwC forventer sterk tosifret vekst i det nordiske cybersikkerhetsmarkedet. CVE-2026-48720, HookedWing og BAVACAI gir styrer og ledelse ny ammunisjon for \u00e5 prioritere sikkerhetsbudsjetter til EMS-sikring, SOC-oppbygging og treningsprogrammer.<\/p>\n\n\n\n

    Relatert dekning<\/h3>\n\n\n\n