Hur The Gentlemen kom över kontouppgifter hos SATS – och hur det kunde ha stoppats

När konton hos gymkedjan SATS komprometterades av gruppen The Gentlemen var det inte nödvändigtvis resultatet av en klassisk “hackning” av själva systemet. Istället pekar mycket på en kombination av återanvända lösenord, exponerad infrastruktur och bristande insyn i den externa attackytan.

Det här är en typ av attack som blir allt vanligare — och farligare — i takt med att angripare automatiserar sina metoder.

Tidigare incident: Brister i hantering av personuppgifter

Detta är inte första gången SATS uppmärksammats ur ett säkerhets- och integritetsperspektiv.

År 2023 bötfälldes SATS av norska tillsynsmyndigheten efter att ha brutit mot flera bestämmelser i GDPR.

Enligt European Data Protection Board handlade det bland annat om:

• Otillräckliga tekniska och organisatoriska skyddsåtgärder
• Brister i åtkomstkontroller
• Otillräcklig hantering av personuppgifter

Detta är viktigt av två skäl:

1. Säkerhet är sällan en isolerad händelse
   Organisationer med brister i dataskydd har ofta även svagheter i andra delar av sin säkerhetsarkitektur.

2. Attackytan är bredare än man tror
   Det handlar inte bara om brandväggar och servrar — utan även om hur identiteter, data och åtkomst hanteras.

Det betyder inte att denna incident har en direkt koppling till den tidigare boten.

Men det visar ett mönster som är vanligt:

När grundläggande säkerhetskontroller brister, ökar sannolikheten för flera typer av incidenter.

Vad som faktiskt hände (mest sannolika scenariot)

Angriparna använde sig av tidigare läckta användaruppgifter från andra tjänster. Dessa innehåller ofta:

• E-postadresser
• Lösenord

Med hjälp av automatiserade verktyg testade de dessa uppgifter mot SATS inloggningssystem.

Detta kallas för:

Credential stuffing

Om en användare hade återanvänt samma lösenord fungerade inloggningen direkt — utan att någon sårbarhet i själva applikationen behövde utnyttjas.

Ett vanligare problem än många tror

Det här är inte unikt för SATS.

I de flesta organisationer finns:

• Användare med återanvända lösenord
• Konton som förekommer i tidigare dataläckor
• Brist på synlighet i vem som redan är exponerad

Det gör credential stuffing till en av de mest effektiva attackmetoderna idag.

Men det finns ett mörkare scenario

Det är inte ovanligt att äldre on-prem-system finns kvar i organisationers miljöer — inklusive potentiellt exponerade interna tjänster som domänkontrollanter eller andra kritiska servrar.

Det öppnar upp för ett betydligt allvarligare angreppsscenario.

Worst-case scenario: Exponerad domänkontrollant

Om en domänkontrollant (Active Directory) eller relaterade tjänster är åtkomliga från internet förändras spelplanen helt.

Steg 1 — Upptäckt (Recon)

Angripare börjar med att kartlägga din externa attackyta.

Detta sker automatiserat genom scanning av domäner, subdomäner och IP-adresser.

Angriparen identifierar öppna TCP-portar som exponerar känsliga tjänster:

• SSH (22) — direkt serveraccess
• RDP (3389) — fjärrstyrning av Windows-servrar
• VNC (5900) — grafisk fjärråtkomst
• LDAP / LDAPS (389 / 636) — Active Directory-kommunikation
• SMB (445) — filsystem och autentisering

Databastjänster:

• MSSQL (1433)
• Oracle (1521)
• MySQL (3306)
• PostgreSQL (5432)
• MongoDB (27017)
• Redis / andra (varierande portar)

Detta är exakt den typen av exponeringar som automatiska scanners letar efter — varje dag, över hela internet.

Steg 2 — Initial access

Två vanliga vägar in:

Alternativ A: Credential stuffing / password spray

• Testar läckta lösenord direkt mot fjärråtkomsttjänster, AD eller databaser

Alternativ B: Komprometterad klient

• En anställds dator infekteras via phishing eller infostealer
• Ger angriparen interna credentials eller session

Steg 3 — Lateral movement

När angriparen fått fotfäste:

• Kartlägger användare och grupper
• Identifierar privilegierade konton
• Rör sig mellan system i nätverket

Steg 4 — Privilege escalation

• Utnyttjar felkonfigurationer i Active Directory
• Dumpar credentials från minne
• Tar över administratörskonton

Steg 5 — Full kompromettering

I detta läge kan angriparen:

• Få direkt åtkomst till databaser med kunddata
• Extrahera eller manipulera information
• Ta kontroll över hela domänen
• Distribuera ransomware

Detta är ett “total compromise”-scenario.

Hade External Exposure Monitoring hjälpt?

Ja — i båda scenarierna.

I credential stuffing-fallet:

• Identifiera användare i dataläckor
• Möjliggöra proaktiva lösenordsbyten
• Flagga onormal inloggningsaktivitet

I worst-case scenariot:

• Upptäcka exponerade portar (RDP, LDAP, SMB)
• Identifiera publikt tillgängliga admin-interface
• Ge en kontinuerlig bild av din attackyta

Vad ditt företag bör göra nu

1. Ta bort onödig extern exponering

• Domänkontrollanter ska aldrig vara publikt åtkomliga
• Kräver VPN eller Zero Trust-access

2. Inför stark autentisering

• MFA på alla konton
• Helst phishing-resistent (passkeys eller hårdvarunycklar)

3. Övervaka identiteter kontinuerligt

• Identifiera konton i dataläckor
• Tvinga lösenordsrotation

4. Segmentera nätverket

• Begränsa lateral movement
• Separera kritiska system

5. Implementera endpoint-skydd.

• Upptäck skadliga processer och infostealers
• Förhindra credential harvesting

Slutsats

Det är fortfarande oklart exakt vilken väg angriparna tog — men en sak är tydlig:

Organisationer blir inte hackade på ett sätt — utan på flera samtidigt.

Credential stuffing kan vara ingången.
Exponerad infrastruktur kan vara accelerationen.

Och brist på synlighet gör att båda passerar obemärkt.

Vill du veta hur exponerat ditt företag är?

Det första steget är att förstå vad som redan är synligt utåt.

Kör en scan av din externa attackyta och få svar på:

• Vilka tjänster som är exponerade
• Vilka konton som finns i dataläckor
• Var dina största risker finns

Det du inte ser kan skada dig.