2,4 miljarder stulna på tio sekunder – cyberhot mot finanssektorn eskalerar

Månaders förberedelser för tio sekunders stöld

Den 2 januari genomförde nordkoreanska cyberbrottslingar något som borde vara omöjligt: de dränerade 285 miljoner dollar – cirka 2,4 miljarder kronor – från den decentraliserade finansplattformen Drift på bara tio sekunder.

Men bakom denna blixtsnabba stöld låg månader av metodisk planering. Enligt säkerhetsföretaget Elliptic började hackarna förbereda attacken åtta dagar tidigare genom att skapa en digital plånbok och genomföra testtransaktioner för att säkerställa kompatibilitet med sju olika kryptovalutor.

Det verkligt imponerande – om än skrämmande – var den tekniska utförandet. Fem timmar före stölden lyckades angriparna kompromettera en administrativ nyckel som skulle vara skyddad av ett system som kräver godkännande från minst två av fem nyckelinnehavare. Eftersom Drifts system tillåter förändringar utan tidsfördröjning kunde hackarna omedelbart utnyttja denna åtkomst.

Tjugofem sekunder före den egentliga stölden skapade hackarna en falsk marknad för CVT, en värdelös token de skapat 20 dagar tidigare. Samtidigt stängde de av Drifts säkerhetssystem som förhindrar massiva snabba uttag. Genom att manipulera systemets parametrar fick de sina värdelösa tokens att framstå som värda hundratals miljoner dollar.

Bredare attackvåg mot finanssektorn

Nordkorea-attacken är inte en isolerad incident utan del av en större våg av cyberhot mot finanssektorn. Parallellt pågår omfattande angrepp på flera fronter:

Cisco Talos rapporterar om en storskalig attack där cyberbrottslingar utnyttjar den kritiska säkerhetsbristen React2Shell (CVE-2025-55182) i Next.js-applikationer. På bara 24 timmar komprometterade angriparna 766 system och samlade in över 10 000 filer med känslig företagsinformation, inklusive åtkomstnycklar för AI-plattformar, betalningsprocessorer och AWS-tjänster.

Samtidigt cirkulerar ny bankmalware vid namn Mirax som erbjuds till cyberbrottslingar för upp till 30 000 kronor per månad. Enligt SecurityWeek innehåller skadprogrammet specialanpassade överlägg för över 700 olika finansapplikationer och ger fjärråtkomst till mobilenheter.

Systemiska sårbarheter blottläggs

Dessa attacker avslöjar fundamentala systemiska problem inom finanssektorn. Italien bötfällde nyligen landets största bank, Intesa Sanpaolo, med 380 miljoner kronor efter att en anställd olagligt kunde komma åt tusentals privata konton under mer än två år – ett tecken på bristfälliga tekniska skyddsåtgärder.

Även AI-plattformar visar sig sårbara. Check Point-forskare avslöjade hur ChatGPT kunde läcka användardata till externa servrar genom att utnyttja DNS-förfrågningar som en dold kanal för att kringgå säkerhetsfilter.

Automatisering som dubbelsidig kniv

Vad som gör dagens cyberhot särskilt farliga är graden av automatisering. React2Shell-attackerna använder automatiserad skanning och ramverket Nexus Listener för systematisk datainsamling. Nordkorea-gruppen har likaså automatiserat sina penningtvättsprocesser över flera blockkedjor.

Denna automatisering gör att angriparna kan genomföra attacker i en skala och hastighet som tidigare var otänkbar. När administrativa nycklar väl komprometteras kan hela system dräneras på sekunder, inte timmar eller dagar.