torsdag, juli 31
Cyberattack

Ransomhub-attacken mot Sportadmin – En av Sveriges största dataintrång någonsin

By Updated:Inga kommentarer6 Mins Read

Den kriminella hackergruppen Ransomhub genomförde i januari 2025 en förödande cyberattack mot Sportadmin, en administrativ plattform som används av cirka 1 700 idrottsföreningar i Sverige. Attacken resulterade i att personuppgifter för upp till två miljoner svenskar läckte ut – vilket gör det till ett av Sveriges största dataintrång någonsin.

Bakgrund: Vad är Ransomhub?

Ransomhub etablerade sig som en av världens mest aktiva ransomware-grupper under 2024, efter att först ha observerats i februari samma år. Gruppen fungerar som en ”Ransomware-as-a-Service” (RaaS) plattform, där huvudorganisationen utvecklar skadlig programvara och hyrer ut den till affiliates som genomför attackerna.

Vad som skiljer Ransomhub från andra grupper är deras unika betalningsstruktur – affiliates får behålla 90% av lösenotet medan huvudgruppen endast tar 10%. Ännu viktigare är att pengarna skickas till affiliaten först, vilket adresserar förtroendefrågor inom ransomware-gemenskapen efter flera ”exit scams” från andra grupper.

Gruppen tros ha ryska kopplingar, vilket framgår av att deras data leak site förbjuder attacker mot ”CIS, Kuba, Nordkorea och Kina”. Ransomhub är tekniskt sett en utveckling av Knight ransomware (tidigare känt som Cyclops), med stark kodlikhet mellan grupperna.

Ransomhub aktiva under 2024

Under 2024 blev Ransomhub den mest aktiva ransomware-gruppen globalt, med över 600 organisationer som mål enligt säkerhetsforskare. Gruppen drog nytta av nedgången för konkurrenter som LockBit och ALPHV/BlackCat efter polisinsatser, och lyckades rekrytera erfarna affiliates från dessa organisationer.

Ransomhub använder sig av så kallad ”double extortion” – de både krypterar offrens data och hotar att publicera känslig information om lösensumman inte betalas. Gruppen har systematiskt attackerat kritisk infrastruktur inom sektorer som hälsovård, finans, regering och utbildning över hela världen.

Attacken mot Sportadmin

Tidslinje och omfattning

Den 16 januari 2025 drabbades Sportadmin, som ägs av Malmöbaserade Lime Technologies, av ett omfattande dataintrång. Sportadmin är en kritisk plattform för svensk idrottsmiljö, som används av:

  • Cirka 1 700 idrottsföreningar
  • Över en miljon användare (både vuxna och barn)
  • För administration av medlemskap, träningsscheman och kontaktuppgifter

Vad stals?

Intrånget inkluderade hela tjänstens medlemsdatabas med:

  • Kompletta personuppgifter för upp till två miljoner svenskar
  • Namn, kontaktuppgifter och medlemskapsinformation
  • Känslig information om cirka 3 500 personer med skyddade uppgifter
  • Information om barn och unga idrottare

Särskilt allvarligt är att attacken omfattade personer med skyddad identitet, vilket dramatiskt ökar risken för bedrägeri och andra former av utnyttjande.

Ransomhubs krav och hot

Efter intrånget krävde Ransomhub en stor lösensumma från Lime Technologies. När företaget vägrade betala, på inrådan från polis och säkerhetsexperter, eskalerade situationen:

  • Gruppen hotade att publicera all stulen data inom en vecka
  • I mars 2025 följde Ransomhub upp sitt hot och publicerade delar av den stulna informationen på nätet
  • Data blev tillgänglig på ”dark web” för kriminell användning

Konsekvenser och påverkan av attacken

För individer

De drabbade individerna, särskilt föräldrar och barn som använder appen, uppmanas att vara extra vaksamma för:

  • Bedrägeriförsök via telefon, e-post eller SMS
  • Identitetsstöld och ekonomiska brott
  • Riktade nätfiskeattacker

För svensk idrott

Attacken slog hårt mot svensk idrottsmiljö genom att:

  • Förstöra förtroendet för digitala plattformar
  • Störa verksamheten för 1 700 idrottsföreningar
  • Exponera känslig information om unga idrottare

Företagets respons

Lime Technologies, moderbolaget till Sportadmin, har:

  • Stängt ner plattformen tillfälligt efter attacken
  • Vägrat betala lösensumma på polisens inrådan
  • Implementerat säkerhetsåtgärder för att förhindra framtida attacker
  • Samarbetat med myndigheter i utredningen

Jennie Everhed, kommunikationschef på Lime Technologies, kommenterade: ”Nu är det framförallt ett polisiärt ärende och vi kan bara vädja till allmänhetens sunda förnuft, att inte ladda ner eller på annat sätt sprida de här uppgifterna för att inte ytterligare förvärra skadan för de som drabbats.”

Bredare perspektiv på ransomware-trenden

Ransomhubs globala aktivitet

Sportadmin-attacken var bara en i raden av Ransomhubs omfattande kampanj under 2024-2025. Andra betydande attacker inkluderade:

  • Change Healthcare i USA (4 terabyte stulen data)
  • Christie’s auktionshus (500 000 kunders information)
  • Kawasaki Europa (operationer störda i flera länder)
  • Flera amerikanska skoldistrikt

Utvecklingen av ransomware

Ransomware-landskapet har utvecklats dramatiskt med:

  • Ökning av attacker med 25% under 2024
  • 53% ökning av ransomware-gruppers ”leak sites”
  • Genomsnittliga lösensummor på över 5,2 miljoner dollar per attack
  • Framväxten av 95 aktiva grupper (ökning med 40% från 2023)

Skydd och prevention mot Ransomhub

För organisationer

Expertrekommendationer för att skydda sig mot Ransomhub och liknande grupper inkluderar:

  • Implementering av flerlagers säkerhet
  • Regelbunden uppdatering och säkerhetskorrigering av system
  • Robusta backup-rutiner med offline lagring
  • Utbildning av personal om nätfiske och social engineering
  • Multifaktorautentisering för alla kritiska system

För individer

Säkerhetsexperter råder de drabbade att:

  • Kontakta sin idrottsförening för information
  • Vara extra vaksamma för bedrägeriförsök
  • Överväga att ansöka om ersättning under GDPR-reglerna
  • Inte ladda ner eller sprida läckt information

Framtiden för cybersäkerhet i Sverige

Sportadmin-attacken belyser flera kritiska områden:

Systemisk sårbarhet

Attacken visar hur en enda plattform kan exponera miljontals människors personuppgifter, vilket understryker behovet av:

  • Bättre datasäkerhet i kritiska system
  • Starkare regleringar för datahantering
  • Förbättrade incidenthanteringsprotokoll

Internationellt samarbete

Ransomhubs ryska kopplingar illustrerar behovet av:

  • Förbättrat internationellt polissamarbete
  • Starkare sanktioner mot ransomware-grupper
  • Bättre mekanismer för att förhindra utbetalning av lösenoder

Slutsats

Ransomhub-attacken mot Sportadmin representerar en vändpunkt för cybersäkerhet i Sverige. Med två miljoner drabbade individer är det inte bara ett av landets största dataintrång utan också en väckarklocka för hela samhället om sårbarheten i vår digitala infrastruktur.

Attacken understryker behovet av:

  • Kraftfullare investeringar i cybersäkerhet
  • Bättre skydd för kritiska digitala plattformar
  • Starkare internationellt samarbete mot cyberkriminalitet
  • Ökad medvetenhet om ransomware-hot

Medan Ransomhub-gruppen enligt rapporter kan ha pausat sin verksamhet sedan april 2025, kvarstår hotet från andra grupper. Sportadmin-attacken kommer att tjäna som en påminnelse om vikten av proaktiv cybersäkerhet för organisationer som hanterar känsliga personuppgifter.

För svensk idrott innebär detta en långsiktig process att återbygga förtroendet och säkerställa att liknande attacker inte kan ske igen. För de två miljoner drabbade individerna är det viktigt att förbli vaksamma mot bedrägerier och andra former av utnyttjande av deras läckta personuppgifter.

Källor

Svenska nyhetsmedier:

  1. Kvartal – ”Skyddade uppgifter spridda i Sportadminläckan” (Mars 2025)
  2. SVT Nyheter – ”Hackarnas hot: Läcker uppgifterna från Sportadmin om en vecka” (Februari 2025)
  3. Sweden Herald – ”Sportadmin Data Breach: Sensitive Info Published Online” (Mars 2025)
  4. Sweden Herald – ”Blackmailer Threatens to Leak Sensitive Personal Information” (Februari 2025)

Cybersäkerhetsrapporter och analyser:
5. BlackFog – ”The State of Ransomware 2025” (Januari 2025) *
6. BlackFog – ”RansomHub: The Rise of a New Ransomware Threat” (September 2024)
7. Bitsight – ”RansomHub Ransomware: TTPs, News, & Insights for 2025”
8. The Hacker News – ”RansomHub Becomes 2024’s Top Ransomware Group, Hitting 600+ Organizations Globally” (Februari 2025)
9. The Hacker News – ”RansomHub Ransomware Group Targets 210 Victims Across Critical Sectors” (September 2024)
10. ExtraHop – ”2025 Security Predictions: Top Ransomware Groups to Watch in a Post-LockBit Threat Landscape”

Forsknings- och analysorganisationer:
11. Cyberint – ”Ransomware Annual Report 2024” (Januari 2025)
12. Kaspersky Securelist – ”Kaspersky ransomware report for 2024” (Maj 2025)
13. Rapid7 – ”The 2024 Ransomware Landscape: Looking back on another painful year”
14. Recorded Future – ”Most Popular Ransomware Groups to Watch (Updated 2025)” (Januari 2025)
15. Coveware – ”The organizational structure of ransomware groups is evolving rapidly” (Maj 2025)

Specialiserade säkerhetsdatabaser:
16. BreachSense – ”SportAdmin Data Breach in 2025”
17. RedPacket Security – ”[RANSOMHUB] – Ransomware Victim: sportadmin[.]se” (Februari 2025)
18. Comparitech – ”RansomHub claims December 2024 ransomware attacks on two US school districts” (Februari 2025)

Juridisk analys:
19. Lexing Network – ”The Sportadmin Data Leak in Sweden: A guide for Victims on Rights, Risks and Compensation”

Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply Cancel Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.

Exit mobile version