21 dagar som förändrade allt
Angriparnas automatiserade verktyg skannar
internet dygnet runt efter osäkra system. De bryr sig inte om vad du gör
eller vad du säljer — bara om att dörren är olåst.
Det här är
berättelsen om Lindqvist & Partners Redovisning AB i Västerås. 12
anställda. 87 klientföretag. En måndag i februari under
deklarationssäsongen.
Lindqvist & Partners grundades 2009. En VD, sju auktoriserade redovisningskonsulter, två löneadministratörer och två administratörer. Byrån hanterar bokföring, löner och deklarationer för 87 aktiva klientföretag. Det är en måndag i februari. Deklarationssäsongen är i full gång.
En svart skärm med vit text.
Maria Lindqvist, VD och grundare, sätter på sin dator som hon gjort varje morgon i femton år. En svart skärm med vit text hon aldrig sett tidigare: "Your files have been encrypted. Contact us within 72 hours."
Hon ringer sin IT-konsult. Klockan är 06:52.
Alla tolv anställda är på plats. Ingen kan jobba.
Server krypterad. Fildelning krypterad. E-post fungerar inte. Lönesystem krypterat. IT-konsulten bekräftar det värsta: säkerhetskopian lagrades på samma server. Den är också krypterad.
Incident response-konsult flygs in från Stockholm.
Timkostnad: 3 200 kr. Hon konstaterar att angriparna troligtvis har exfiltrerat klientdata innan krypteringen — resultaträkningar, lönespecifikationer, personnummer, bankuppgifter. Lösensumman är 380 000 kr i kryptovaluta. Betalbar inom 72 timmar, annars höjs den till 680 000 kr.
Sedan hittar hon något annat. En vidarebefordrarregel i byråns e-postsystem — skapad för tre veckor sedan — har tyst skickat en kopia av all inkommande e-post till en extern adress. Klientkommunikation, offerter, bankuppgifter, avtal, löneunderlag. Allt som kom in via e-post under tre veckor har angriparna redan läst.
Maria ringer sin advokat.
GDPR-klockan tickar.
Integritetsskyddsmyndigheten ska underrättas inom 72 timmar från att intrånget upptäcktes. Fristen löper ut ikväll. Advokaten och incident response-konsulten arbetar parallellt.
Maria börjar ringa sina 87 klienter. Hon hinner med tio samtal på förmiddagen. Varje samtal tar tjugo minuter. Bergström Bygg AB — 18 anställda — påminner om att löner ska betalas på fredag.
Beslutet: betala inte.
Incident response-konsulten rekommenderar att inte betala. Enligt Sophos 2025 fick bara 46% av organisationer som betalat lösen tillbaka all sin data. Mer än hälften betalade — och fick ändå inte tillbaka allt. Betalning garanterar ingenting.
Återställningen börjar från grunden. Operativsystem installeras om. Data samlas in manuellt från e-posthistorik, utskrifter och klienters egna system.
Sara, löneadministratör, har arbetat på byrån i nio år. Hon sitter hemma idag — det finns ingenting hon kan göra på kontoret utan tillgång till systemen. Hon skickar ett SMS till en kollega vid lunchtid: "Vet du hur länge det här håller på? Jag och Mikael har precis skrivit på för lägenheten." Kollegan vet inte vad hon ska svara.
Bergström Byggas löner betalas inte ut.
Deras 18 anställda får inget besked förrän på eftermiddagen. Bergströms VD ringer Maria tre gånger. Det tredje samtalet är inte vänligt.
Totalt har tre klienter hört av sig med krav eller missnöje. IT-konsultkostnader hittills: 78 000 kr. Maria har ännu inte hunnit ringa de resterande 77 klienterna.
Återställningen fastnar.
Det lokala filsystemet återställs gradvis, men alla molntjänstkonton måste nollställas, granskas och verifieras innan de kan användas igen. Angriparna hade haft tillgång till inloggade sessioner — det går inte att anta att något konto är rent utan kontroll. Leverantörernas support har kö. Det är arbete som inte faktureras.
Fem av tolv anställda rekonstruerar klientdata manuellt från PDF-utskrifter och klienters egna register. Tre veckors e-posthistorik är komprometterad och kan inte användas som källa — den tillhör nu ett brottsutredningsunderlag.
Jonas — sju år på byrån — har börjat titta på andra tjänster. Deklarationssäsongen pågår. Ingenting lämnas in i tid.
Rättsliga konsekvenser tar form — och försäkringen svarar inte.
IMY begär kompletterande information: exakt vilken data som komprometterats, vilka säkerhetsåtgärder som fanns, vad som görs framåt. Det visar sig nu att vidarebefordrarregeln i e-postsystemet dramatiskt utökar skadebilden. Tre veckors klientkommunikation innehöll personnummer, lönespecifikationer och bankuppgifter för hundratals privatpersoner — anställda hos byråns klienter. Var och en av dem är en registrerad vars uppgifter läckt. Advokaten uppskattar arbetet med IMY-ärendet till 60–80 timmar.
Maria ringer försäkringsbolaget. Byrån har haft en cyberförsäkring i två år — premien på 18 000 kr per år kändes som en trygghet. Nu meddelar försäkringsbolaget att kravet inleder en granskning. Efter 48 timmar kommer beskedet: ersättning nekas. Post-breach-auditen visar att tvåfaktorsautentisering inte var aktiverat på alla konton, att backuperna inte var testade och att det saknades en dokumenterad incidentplan — samtliga krav som stod i polisvillkoren, men som ingen läst noga.
Fastighetsbolaget — byråns näst största klient — meddelar skriftligen att de avslutar samarbetet. Månadsarvode: 18 500 kr. Maria sitter ensam på kontoret en kväll och räknar. Det hon räknar på är inte längre bara kostnader. Det är om företaget överlever.
System återvänder. Förtroendet gör det inte.
Tre veckors transaktionsdata är borta för alltid. Bokföringen har luckor. Revisorn flaggar problem. Skatteverket kontaktas för förlängda inlämningsfrister — två klienter beviljas inte förlängning och drabbas av förseningsavgifter. En av dem överväger att kräva byrån på ersättning.
Jonas bekräftar att han slutar. Han har fått ett erbjudande från en konkurrerande byrå.
Tekniskt klara. Men inte säkra.
Alla system fungerar. IR-konsulten har granskat servrar, datorer och molntjänstkonton. I sin slutrapport flaggar hon för att nätverksroutern bör bytas ut och forensiskt undersökas — i en tredjedel av alla ransomware-incidenter sitter den ursprungliga ingångsvektorn i nätverksutrustning som VPN-produkter och routrar.
Problemet: routern tillhör fastighetsägaren. Att få formellt tillstånd att byta eller undersöka den tar ytterligare tre till fem dagar. Byrån har inte råd att vänta. De har kunder att serva, löner att betala, ett rykte att reparera.
Beslutet fattas i ett möte på tio minuter: de återupptar verksamheten. Routern sitter kvar.
Det är inte oansvarigt. Det är ett rationellt beslut under ekonomisk press och tidsbrist — precis den typ av beslut som de flesta organisationer fattar. Och precis den typ av beslut som leder till att angriparen fortfarande är kvar.
Det här är inte ett storföretag som klarar av att absorbera en förlust. Det är tolv anställda, fyra miljoner i årsomsättning och noll buffertar för det oväntade. 813 000 kr är inte en post i ett kvartalsbokslut — det är ett hot mot hela verksamhetens existens.
Lindqvist & Partners är fortfarande verksamma. Men de är inte samma bolag. Jonas ersättare kostade 40 000 kr i rekryteringsarvode. Tre klienter är fortfarande tveksamma. Maria sover bättre nu — men inte lika bra som innan.
Det kostar 8 400 kr per månad. Det är 100 800 kr per år.
Det är ungefär en åttondel av vad attacken kostade.
Angriparna vet de aldrig vilka de var.
Händelseförloppet är fiktivt. Statistiken är verklig. Källor: IBM Cost of a Data Breach 2024, Sophos State of Ransomware 2025, Verizon DBIR 2024, Mandiant M-Trends 2024, Coveware Q4 2024, Coalition Cyber Claims Report 2024, Fitch Ratings 2024, CISA Advisory 2024.
21 dagar som förändrade allt
Angriparnas automatiserade verktyg skannar
internet dygnet runt efter osäkra system. De bryr sig inte om vad du gör
eller vad du säljer — bara om att dörren är olåst.
Det här är
berättelsen om Lindqvist & Partners Redovisning AB i Västerås. 12
anställda. 87 klientföretag. En måndag i februari under
deklarationssäsongen.
Lindqvist & Partners grundades 2009. En VD, sju auktoriserade redovisningskonsulter, två löneadministratörer och två administratörer. Byrån hanterar bokföring, löner och deklarationer för 87 aktiva klientföretag. Det är en måndag i februari. Deklarationssäsongen är i full gång.
En svart skärm med vit text.
Maria Lindqvist, VD och grundare, sätter på sin dator som hon gjort varje morgon i femton år. En svart skärm med vit text hon aldrig sett tidigare: "Your files have been encrypted. Contact us within 72 hours."
Hon ringer sin IT-konsult. Klockan är 06:52.
Alla tolv anställda är på plats. Ingen kan jobba.
Server krypterad. Fildelning krypterad. E-post fungerar inte. Lönesystem krypterat. IT-konsulten bekräftar det värsta: säkerhetskopian lagrades på samma server. Den är också krypterad.
Incident response-konsult flygs in från Stockholm.
Timkostnad: 3 200 kr. Hon konstaterar att angriparna troligtvis har exfiltrerat klientdata innan krypteringen — resultaträkningar, lönespecifikationer, personnummer, bankuppgifter. Lösensumman är 380 000 kr i kryptovaluta. Betalbar inom 72 timmar, annars höjs den till 680 000 kr.
Sedan hittar hon något annat. En vidarebefordrarregel i byråns e-postsystem — skapad för tre veckor sedan — har tyst skickat en kopia av all inkommande e-post till en extern adress. Klientkommunikation, offerter, bankuppgifter, avtal, löneunderlag. Allt som kom in via e-post under tre veckor har angriparna redan läst.
Maria ringer sin advokat.
GDPR-klockan tickar.
Integritetsskyddsmyndigheten ska underrättas inom 72 timmar från att intrånget upptäcktes. Fristen löper ut ikväll. Advokaten och incident response-konsulten arbetar parallellt.
Maria börjar ringa sina 87 klienter. Hon hinner med tio samtal på förmiddagen. Varje samtal tar tjugo minuter. Bergström Bygg AB — 18 anställda — påminner om att löner ska betalas på fredag.
Beslutet: betala inte.
Incident response-konsulten rekommenderar att inte betala. Enligt Sophos 2025 fick bara 46% av organisationer som betalat lösen tillbaka all sin data. Mer än hälften betalade — och fick ändå inte tillbaka allt. Betalning garanterar ingenting.
Återställningen börjar från grunden. Operativsystem installeras om. Data samlas in manuellt från e-posthistorik, utskrifter och klienters egna system.
Sara, löneadministratör, har arbetat på byrån i nio år. Hon sitter hemma idag — det finns ingenting hon kan göra på kontoret utan tillgång till systemen. Hon skickar ett SMS till en kollega vid lunchtid: "Vet du hur länge det här håller på? Jag och Mikael har precis skrivit på för lägenheten." Kollegan vet inte vad hon ska svara.
Bergström Byggas löner betalas inte ut.
Deras 18 anställda får inget besked förrän på eftermiddagen. Bergströms VD ringer Maria tre gånger. Det tredje samtalet är inte vänligt.
Totalt har tre klienter hört av sig med krav eller missnöje. IT-konsultkostnader hittills: 78 000 kr. Maria har ännu inte hunnit ringa de resterande 77 klienterna.
Återställningen fastnar.
Det lokala filsystemet återställs gradvis, men alla molntjänstkonton måste nollställas, granskas och verifieras innan de kan användas igen. Angriparna hade haft tillgång till inloggade sessioner — det går inte att anta att något konto är rent utan kontroll. Leverantörernas support har kö. Det är arbete som inte faktureras.
Fem av tolv anställda rekonstruerar klientdata manuellt från PDF-utskrifter och klienters egna register. Tre veckors e-posthistorik är komprometterad och kan inte användas som källa — den tillhör nu ett brottsutredningsunderlag.
Jonas — sju år på byrån — har börjat titta på andra tjänster. Deklarationssäsongen pågår. Ingenting lämnas in i tid.
Rättsliga konsekvenser tar form — och försäkringen svarar inte.
IMY begär kompletterande information: exakt vilken data som komprometterats, vilka säkerhetsåtgärder som fanns, vad som görs framåt. Det visar sig nu att vidarebefordrarregeln i e-postsystemet dramatiskt utökar skadebilden. Tre veckors klientkommunikation innehöll personnummer, lönespecifikationer och bankuppgifter för hundratals privatpersoner — anställda hos byråns klienter. Var och en av dem är en registrerad vars uppgifter läckt. Advokaten uppskattar arbetet med IMY-ärendet till 60–80 timmar.
Maria ringer försäkringsbolaget. Byrån har haft en cyberförsäkring i två år — premien på 18 000 kr per år kändes som en trygghet. Nu meddelar försäkringsbolaget att kravet inleder en granskning. Efter 48 timmar kommer beskedet: ersättning nekas. Post-breach-auditen visar att tvåfaktorsautentisering inte var aktiverat på alla konton, att backuperna inte var testade och att det saknades en dokumenterad incidentplan — samtliga krav som stod i polisvillkoren, men som ingen läst noga.
Fastighetsbolaget — byråns näst största klient — meddelar skriftligen att de avslutar samarbetet. Månadsarvode: 18 500 kr. Maria sitter ensam på kontoret en kväll och räknar. Det hon räknar på är inte längre bara kostnader. Det är om företaget överlever.
System återvänder. Förtroendet gör det inte.
Tre veckors transaktionsdata är borta för alltid. Bokföringen har luckor. Revisorn flaggar problem. Skatteverket kontaktas för förlängda inlämningsfrister — två klienter beviljas inte förlängning och drabbas av förseningsavgifter. En av dem överväger att kräva byrån på ersättning.
Jonas bekräftar att han slutar. Han har fått ett erbjudande från en konkurrerande byrå.
Tekniskt klara. Men inte säkra.
Alla system fungerar. IR-konsulten har granskat servrar, datorer och molntjänstkonton. I sin slutrapport flaggar hon för att nätverksroutern bör bytas ut och forensiskt undersökas — i en tredjedel av alla ransomware-incidenter sitter den ursprungliga ingångsvektorn i nätverksutrustning som VPN-produkter och routrar.
Problemet: routern tillhör fastighetsägaren. Att få formellt tillstånd att byta eller undersöka den tar ytterligare tre till fem dagar. Byrån har inte råd att vänta. De har kunder att serva, löner att betala, ett rykte att reparera.
Beslutet fattas i ett möte på tio minuter: de återupptar verksamheten. Routern sitter kvar.
Det är inte oansvarigt. Det är ett rationellt beslut under ekonomisk press och tidsbrist — precis den typ av beslut som de flesta organisationer fattar. Och precis den typ av beslut som leder till att angriparen fortfarande är kvar.
Det här är inte ett storföretag som klarar av att absorbera en förlust. Det är tolv anställda, fyra miljoner i årsomsättning och noll buffertar för det oväntade. 813 000 kr är inte en post i ett kvartalsbokslut — det är ett hot mot hela verksamhetens existens.
Lindqvist & Partners är fortfarande verksamma. Men de är inte samma bolag. Jonas ersättare kostade 40 000 kr i rekryteringsarvode. Tre klienter är fortfarande tveksamma. Maria sover bättre nu — men inte lika bra som innan.
Det kostar 8 400 kr per månad. Det är 100 800 kr per år.
Det är ungefär en åttondel av vad attacken kostade.
Angriparna vet de aldrig vilka de var.
Händelseförloppet är fiktivt. Statistiken är verklig. Källor: IBM Cost of a Data Breach 2024, Sophos State of Ransomware 2025, Verizon DBIR 2024, Mandiant M-Trends 2024, Coveware Q4 2024, Coalition Cyber Claims Report 2024, Fitch Ratings 2024, CISA Advisory 2024.