Mistanke bekræftet: Rusland kædes nu til destruktivt cyberangreb på Jaguar Land Rover

Eskil Sørensen
07.01.2026 10:06
Ingen løsesum, avanceret malware og timing peger mod statslig sabotage frem for klassisk cyberkriminalitet

Hvad der længe har været en offentligt kendt hemmelighed, er nu ved at blive bekræftet: Rusland mistænkes for at stå bag det omfattende og økonomisk ødelæggende cyberangreb mod Jaguar Land Rover (JLR) sidste år.

Ifølge nye oplysninger fra blandt andet New York Times, baseret på kilder tæt på efterforskningen, peger sporene mod russiske aktører. Samtidig vurderer flere sikkerhedseksperter, at angrebet bærer klare tegn på statslig involvering – på trods af en umiddelbar fremtoning som traditionel ransomware.

Det skriver Infosecurity Magazine.

Angreb uden økonomisk motiv

En af de mest opsigtsvækkende detaljer i sagen er fraværet af et løsekrav.

Normalt er ransomware-angreb drevet af økonomisk gevinst. Men i dette tilfælde blev der hverken fremsat krav eller indledt forhandlinger. Angrebet havde tilsyneladende ét formål: at lamme virksomheden.

Ifølge Cynthia Kaiser fra Halcyon Ransomware Research Center er det netop denne kombination, der peger i retning af statslig involvering:

  • Ingen løsesum
  • Timing tæt på lancering af nye køretøjer
  • Brug af avanceret, tilsyneladende ny ransomware

Resultatet var betydeligt. Angrebet anslås at have kostet den britiske økonomi op mod 1,9 milliarder pund, mens JLR selv forventes at have taget et tab på omkring 350 millioner dollars i regnskabsåret 2026.

Forvirring om gerningsmanden

I de tidlige faser blev ansvaret for angrebet tilskrevet gruppen Scattered Lapsus$ Hunters, som selv hævdede at stå bag. Dette bidrog til at mudre billedet yderligere. Men den forklaring holder ikke i lyset af den manglende økonomiske motivation, vurderer flere. 

Pete Chronis, tidligere CISO og nu investor, formulerer det således:

Hvis ingen forsøger at få penge ud af et ransomware-angreb, er det næppe et ransomware-angreb i klassisk forstand.

Angrebet fremstår derfor i stigende grad som sabotage.

Indikationer på avanceret aktør

Den daværende CISO hos JLR, Ashish Shrestha, har ikke bekræftet denne formodning, men beskriver angriberen som “meget sofistikeret”.

Interessant er det også, at han afviser en central del af det oprindelige narrativ: brugen af social engineering.

Tidligere rapporter pegede på vishing-angreb (telefonbaseret social engineering) som indgangspunkt til kompromittering af legitimationsoplysninger. Men ifølge Shrestha var dette ikke tilfældet. Det peger på en mere teknisk avanceret angrebsvektor end først antaget.

Parallel aktivitet i netværket

Som yderligere kompleksitet fremgår det, at en separat hacker – en jordansk aktør kendt som “Rey” – også kompromitterede dele af JLR’s netværk uafhængigt af den russiske operation.

Det illustrerer en realitet, hvor flere trusselsaktører kan operere parallelt mod samme mål, og hvor attribution dermed bliver yderligere vanskelig.

Angrebet mod JLR passer ind i et bredere mønster, hvor statslige aktører anvender hybridmetoder:

  • Kriminelle værktøjer
  • Sløret attribution
  • Fokus på økonomisk og operationel skade

Her er ransomware ikke et middel til betaling, men et våben til destabilisering.

Konsekvenserne af angrebet var i høj grad økonomiske og operationelle. JLR oplevede betydelige forstyrrelser, og effekten ramte bredere end virksomheden selv. Derfor antages en statslig aktør som Rusland for at have været kraftigt involveret.

 

Sikkerhedshændelse