Ransomware‑affiliate brød uskrevne regler ved angreb i SNG‑land

Eskil Sørensen

06.08.2026 11:02

Et fejltrin hos en affiliate i ransomware‑gruppen RAlord udløste en undskyldning, intern sanktion og løfte om gratis hjælp til offeret

Selv organiseret cyberkriminalitet har interne spilleregler. En af de mest grundlæggende blev brudt tidligere på ugen, da en affiliate tilknyttet ransomware‑gruppen RAlord angreb en virksomhed med base i et land i Sammenslutningen af Uafhængige Stater (SNG - som er et samarbejde, der blev dannet efter Sovjetunionens opløsning i 1991 og består af en del af de tidligere sovjetrepublikker). Fejlen udløste en sjældent set offentlig undskyldning fra gruppens affiliate‑program, Nova, og førte til, at den ansvarlige aktør blev fjernet fra samarbejdet.

Det skriver The Register.

Det berørte selskab er Eriell Group, en større leverandør af services til olie‑ og gasindustrien med hovedkvarter i Usbekistan og kontor i Moskva. Ifølge oplysningerne kontaktede Eriell selv Nova for at gøre opmærksom på, at virksomheden var blevet ramt – og dermed på, at en central “no‑go‑zone” var blevet overtrådt.

En regel, der stadig gælder

Nova, der fungerer som affiliate‑program for RAlord, reagerede hurtigt. I en offentlig udmelding undskyldte programmet hændelsen, oplyste at den pågældende affiliate var blevet udelukket, og lovede samtidig at hjælpe Eriell Group med genopretning – uden betaling. Gruppen hævdede desuden, at der ikke var blevet krypteret filer, og at stjålne data ikke ville blive lækket.

Ifølge flere trusselsanalytikere bekræfter sagen, at den gamle uskrevne regel stadig gælder i 2026: Organisationer i Rusland og andre SNG‑lande må ikke rammes.

Recorded Future‑analytiker Allan Liska peger på, at selvom cyberkriminalitet formelt er ulovlig i Rusland og nabolandene, har mange økonomisk motiverede grupper i praksis kunnet operere relativt uforstyrret – så længe de holder sig fra indenlandske mål. Angreb på lokale organisationer risikerer derimod at tiltrække myndighedernes opmærksomhed.

Interne forbud og håndhævelse

Flere kendte ransomware‑grupper har eksplicit indbygget tekniske og organisatoriske barrierer mod angreb i Rusland og SNG. Det gælder blandt andet DragonForce‑kartellet, VanHelsing ransomware‑as‑a‑service og tidligere også LockBit, hvor affiliates kontraktligt blev forpligtet til at undgå bestemte geografier.

At Nova nu offentligt sanktionerer en affiliate, understreger, at disse forbud ikke blot er kosmetiske. I praksis fungerer de som en form for intern risikostyring: Angreb i “forkerte” lande kan bringe hele forretningen i fare.

Den udelukkede affiliate må derfor forvente, at dørene til andre kriminelle samarbejder også forbliver lukkede i en længere periode. I et miljø, hvor tillid og omdømme – paradoksalt nok – spiller en central rolle, kan den type fejl være karriereafsluttende.

Ikke den første kostbare fejltagelse

Sagen føjer sig til en længere række af eksempler på, at cyberkriminelle selv begår alvorlige fejl. Tidligere i år hævdede afpresningsgruppen Scattered Lapsus$ Hunters at have kompromitteret sikkerhedsfirmaet Resecurity fuldstændigt. Det viste sig senere, at gruppen var havnet i en honeypot, hvilket førte til juridiske konsekvenser for mindst én af aktørerne.

Også tekniske fejl har tidligere haft vidtrækkende konsekvenser. Pro‑russiske CyberVolk hardkodede eksempelvis master‑nøgler direkte i deres ransomware, hvilket gjorde det muligt for ofre at gendanne data uden at betale. I den modsatte ende af skalaen gjorde en fejl i Sicarii‑malware det reelt umuligt at dekryptere filer – selv efter betaling – fordi den private nøgle blev kasseret ved hver kørsel.

Mindre mystik, flere menneskelige fejl

Ifølge John Fokker, VP for threat intelligence strategy hos Trellix, er sådanne hændelser med til at punktere forestillingen om cyberkriminelle som ufejlbarlige og højt organiserede aktører.

“Det er mennesker, der bruger computere for at tjene penge. De er ikke mytiske, og de har ikke superkræfter,” har Fokker tidligere udtalt. Netop derfor begår de også fejl – nogle gange med betydelige konsekvenser for deres egne operationer.

I dette tilfælde var fejlen ikke en teknisk detalje, men et brud på en grundlæggende geopolitisk forståelse i ransomware‑økosystemet. Resultatet blev en offentlig undskyldning, en intern udrensning og en påmindelse om, at selv kriminelle miljøer opererer med klare – og håndhævede – grænser.

Læs mere

https://www.theregister.com/cyber-crime/2026/06/02/dumbass-criminal-breaks-the-first-rule-of-ransomware-club/5250380

Information