Cyberbrottslingar komprometterar åkerier och logistikföretag för att stjäla fysiska lastleveranser värda miljardbelopp. En hotgrupp som identifierats av Proofpoint har varit aktiv sedan juni 2025 och samarbetar med organiserade brottsnätsverk för att kapa fraktlaster genom omfattande digitala angrepp som i slutändan slutar i verklig stöld.
Angriparna utnyttjar lastbörser – digitala marknadsplatser där transportörer lägger bud på transportuppdra – för att sprida verktyg för fjärrövervakning och hantering. Dessa ger dem varaktig åtkomst till åkeriernas system. Väl inne raderar de legitima bokningar, blockerar meddelanden till transportledare (dispatchrar) och samordnar transporterna av stulna varor under det kapade åkeriets identitet.
Förluster från laststölder i Nordamerika uppgifck till motsvarande 95 miljarder kronor under 2025, enligt fordons- och flottstyrningsföretaget Geotab. Ökningen drivs till stor del av dessa cyberaktiverade operationer. Siffran innebär en tydlig uppgång jämfört med tidigare år och signalerar en grundläggande förändring i hur organiserade stöldnätverk arbetar.
Signerade RMM-verktyg flyger under radarn
Angreppet börjar med ett komprometterat mäklarkonto på lastbörsen som används för att publicera falska transportjobb. När transportörer svarar får de e-post med skadliga länkar som levererar legitima men missbrukade RMM-verktyg (Remote Monitoring and Management), såsom ScreenConnect, SimpleHelp, Pulseway, PDQ Connect och LogMeIn Resolve.
Proofpoints forskare har observerat närmare två dussin kampanjer sedan augusti 2025, med utskick som varierar från färre än tio till över tusen meddelanden per kampanj. Angriparna är opportunistiska och riktar in sig på transportörer av alla storlekar – från små familjeföretag till stora logistiskaaktörer.
Användningen av RMM-verktyg är medveten. ”Hotaktörer kan skapa och distribuera angriparstyrda fjärrövervakningsverktyg, och eftersom de ofta används som legitim programvara kan slutanvändare vara mindre misstänksamma”, noterade Proofpoint i sin rapport från november 2025. Många av de distribuerade verktygen använder giltiga digitala signaturer, vilket gör att de kan kringgå säkerhetsvarningar och undvika antivirusdetektering.
När verktygen väl är installerade distribuerar angriparna flera RMM-instanser för att säkerställa fortsatt åtkomst även om någon dell upptäcks. De kör därefter PowerShell-skript för att kartlägga offren, samlar in webbhistorik och identifierar åtkomst till bank-, logistik- och redovisningsplattformar.
Organiserad brottslighet i stor skala
Proofpoint bedömer med hög grad av säkerhet att hotgruppen samarbetar med organiserad brottslighet. Bedömningen baseras på angriparnas djupa förståelse för logistikarbetsflöden samt deras förmåga att koordinera verkliga upphämtningar och vidareförsäljning av stulna varor.
– Den här typen av angrepp får konsekvenser genom hela leveranskedjan- från hamnar och transportörer till företag och slutkonsumenter.
Angriparna riktar in sig främst på högvärdiga konsumtionsvaror som livsmedelsprodukter, drycker och elektronik som snabbt kan säljas vidare eller exporteras innan stölden upptäcks. Deras detaljerade kunskap om lastbörser, transportsystem och dokummentationskrav tyder på insiderkunskap eller tidigare omfattande intrång i branschsystem.
Omfattningen pekar på systematisk exploatering snarare än enstaka tillfällen av opportunistisk brottslighet. Hotgruppen har varit aktiv i minst sex månader, med indikationer på att verksamheten kan ha inletts redan i januari 2025.
Blockera obehöriga RMM-verktyg
Åkerier bör begränsa installationen av RMM-verktyg till sådana som uttryckligen godkänts av IT-avdelningen. Alla försök att installera obehörig fjärråtkomstprogramvara bör blockeras eller flaggas för omedelbar granskning.
Övervakning av nätverkstrafik kan avslöja pågående angrepp, särskilt ovanliga RMM-anslutningar, exempelvis sessioner som startats på udda tider eller via ovanliga verktyg. Säkerhetsteam bör införa detekteringsregler för RMM-kommunikation och analysera relevanta hotindikationer.
National Motor Freight Traffic Association har publicerat ett ramverk för att motverka laststölder, som omfattar både cyber- och fysisk säkerhet. eftersom dessa angrepp kombinerar digitala intrång med fysiska stölder behöver traditionella cybersäkerhetsåtgärder kompletteras med förbättrade rutiner för verifiering av bokningar och transportuppdrag.
Proofpoint varnar för att den höga lönsamheten i laststölder för att hotet sannolikt kommer att öka. 95 miljarder i årliga förluster skapar starka incitament för fortsatt utveckling av dessa angreppsmetoder, samtidigt som relativt låga inträdesbarriärer i logistiksektorn gör den till ett attraktivt mål för organiserad brottslighet.
Referenser
- Remote access, real cargo: cybercriminals targeting trucking and logistics
- Beyond the breach: inside a cargo theft actor’s post-compromise playbook
- Cargo thieving hackers running sophisticated remote access campaigns
- Cybercriminals Exploit RMM Tools to Infiltrate Shipping and Logistics Networks
- Cybercriminals exploit RMM tools to steal real-world cargo
This post is also available in:
English
Related News
Nordkoreanska hackare kapade Axios-paket för 100 miljoner användare
Nordkoreanska statshackare komprometterade Axios npm-paket den 31 mars 2026 och infogade en cross-platform remote access trojan i en av JavaScripts mest använda HTTP-klienter. Angreppsfönstret varade…
april 22, 2026 
CISA uppdaterar Akira-varning när ransomware tjänat 244 miljoner dollar
CISA publicerade en uppdaterad gemensam varning om Akira ransomware den 13 november och varnade att gruppen har tjänat 244 miljoner dollar i lösenbetalningar sedan mars…
april 3, 2026 
