av Mikael Winterkvist | jul 21, 2025 | Bluesky, Säkerhet, Threads, Twitter
Microsoft varnar för en pågående global cyberattack mot SharePoint Server. En tidigare okänd sårbarhet (Zero-Day) utnyttjas för att ta kontroll över servrar, stjäla data och installera bakdörrar.
Attacken påverkar lokala installationer av SharePoint 2019 och Subscription Edition. Molntjänsten SharePoint Online är inte drabbad. Enligt cybersäkerhetsföretag började angreppen den 18 juli och har riktats mot organisationer i bland annat USA, Europa och Asien. Flera myndigheter och skolor har redan fått sina system komprometterade.
Sårbarheten, som fått beteckningen CVE-2025-53770, gör det möjligt för angripare att köra skadlig kod med fulla rättigheter. Det innebär att även krypteringsnycklar och autentiseringsuppgifter kan stjälas. Enligt säkerhetsanalytiker finns det tecken på att vissa aktörer återkommer efter att en server blivit åtgärdad.
Microsoft har nu släppt säkerhetsuppdateringar för SharePoint 2019 och Subscription Edition. En patch för SharePoint 2016 väntas inom kort. Amerikanska säkerhetsmyndigheter uppmanar alla organisationer att antingen installera uppdateringarna omedelbart – eller isolera systemen tills åtgärder vidtagits.
Enligt uppskattningar är tiotusentals SharePoint-servrar utsatta världen över.
Källor:
av Mikael Winterkvist | jul 20, 2025 | Bluesky, Säkerhet, Threads, Twitter
Microsoft har publicerat information om en kritisk sårbarhet i Microsoft SharePoint Server On-premises, vilken utnyttjas aktivt. Sårbarheten CVE-2025-53770 har av tillverkaren tilldelats en klassning på 9.8 av 10. [1] [2]
I dagsläget finns det ingen uppdatering tillgänglig, Microsoft har dock publicerat förslag på mitigerande åtgärder, och detaljerad information om hur ett utnyttjande kan detekteras samt publicerat IOC:er. [3]
Källa: BM25-001 Kritisk sårbarhet i Microsoft SharePoint Server On-premises utnyttjas aktivt – CERT-SE
av Mikael Winterkvist | jul 18, 2025 | Bluesky, Säkerhet, Threads, Twitter
Bedragarna tar alla chanser att försöka att lura oss att lämna ifrån oss våra kontouppgifter.
Just nu, i semestertider och i sommarvärmen, har det skickats ut ett stort antal falska mail ut som utger sig för att komma från Easy Park, en populär app för att parkera.
I mailet uppmanas du att uppdatera dina uppgifter – alltså logga in för att göra det. Avsändaren är falsk liksom inloggningsidan och mailet kommer inte från Easy Park.
av Mikael Winterkvist | jul 16, 2025 | Bluesky, Säkerhet, Threads, Twitter
Ett omfattande internationellt tillslag har slagit ut centrala delar av det pro-ryska cyberkriminella nätverket NoName057(16). Operationen, som koordinerades av Europol och Eurojust under kodnamnet Eastwood, ägde rum mellan den 14 och 17 juli och involverade polis- och åklagarmyndigheter från tolv länder, däribland Sverige.
NoName057(16) har pekats ut som ansvarigt för en lång rad överbelastningsattacker mot myndigheter, banker och institutioner i länder som stöttar Ukraina. Gruppen har tidigare attackerat svenska mål och deltog bland annat i attacker mot svenska myndighetssidor och banker under 2023 och 2024.
Infrastruktur
Under insatsen genomfördes 24 husrannsakningar i bland annat Tyskland, Italien, Spanien, Polen, Frankrike och Tjeckien. Två personer greps – en i Frankrike och en i Spanien – och sju internationella arresteringsorder utfärdades. Tyskland står bakom sex av dessa, varav två gäller personer som tros ha varit huvudansvariga för nätverkets verksamhet. Sammanlagt identifierades och slogs över hundra servrar ut över hela världen, samtidigt som en betydande del av nätverkets infrastruktur togs offline.
De som är aktiva inom NoName057(16) utgörs främst av rysktalande sympatisörer som genomför så kallade DDoS-attacker – där webbplatser och digitala tjänster överbelastas för att slås ut. Gruppen saknar formell ledning och använder enkla verktyg för att koordinera attacker. Flera hundra individer som misstänks ha deltagit i angreppen informerades av nationella myndigheter om att deras agerande kan medföra rättsliga konsekvenser. Bland dessa finns ett femtontal identifierade administratörer.
Ukraina
Enligt Europol har NoName057(16) särskilt riktat in sig på mål i länder som gett aktivt stöd till Ukraina, däribland flera NATO-medlemmar. I Tyskland har gruppen genomfört fjorton angreppsvågor sedan november 2023, riktade mot över 250 organisationer. I Schweiz sammanföll flera attacker med politiska evenemang kopplade till Ukraina, och i Nederländerna bekräftades en attack i samband med NATO-toppmötet tidigare i år.
Europol ledde samordningen mellan länderna och agerade nav för informationsutbyte och operativt stöd. Myndigheten organiserade ett trettiotal möten och etablerade ett gemensamt kommandocentrum med representanter från bland annat Frankrike, Spanien, Tyskland och Nederländerna. Eurojust koordinerade de rättsliga åtgärderna under insatsen och ansvarade för internationell rättshjälp och europeiska utredningsorder.
Ryssland
Utredningen visar att NoName057(16) använt chattkanaler, forum och meddelandetjänster för att rekrytera deltagare, sprida instruktioner och förstärka budskap. Deltagare har fått betalt i kryptovaluta och motiverats genom topplistor och digitala belöningssystem – något som enligt Eurojust lockat yngre användare genom ett slags spelifiering. Målet har varit att försvara Ryssland och slå tillbaka mot väst.
Utöver Sverige deltog även bland annat Tyskland, Frankrike, Finland, Schweiz, Nederländerna, Spanien, Polen, Italien, USA, Litauen och Tjeckien i operationen. Belgien, Danmark, Estland, Kanada, Lettland, Rumänien och Ukraina gav tekniskt och operativt stöd.
Källor:
av Mikael Winterkvist | jul 14, 2025 | Bluesky, Säkerhet, Threads
Antalet malware-attacker ökade kraftigt under årets första kvartal. Det visar en ny rapport från WatchGuard, där företagets säkerhetslabb noterar den största ökningen av skadlig kod hittills. Jämfört med kvartalet innan steg det totala antalet unika malware-detektioner med 171 procent, och mycket av ökningen kopplas till AI-genererad kod och attacker som gömmer sig i krypterad trafik.
Malware på endpoints, alltså på användares datorer och enheter, ökade med över 700 procent. Den vanligaste attackmetoden var så kallade LSASS-dumpar, där angripare stjäl användaruppgifter genom att utnyttja en kritisk Windows-process. Samtidigt minskade antalet ransomware-attacker med 85 procent, men hotet finns kvar. Bland annat är ransomware-varianten Termite fortfarande aktiv. Trenden tyder på att fler angripare övergår från att kryptera filer till att i stället fokusera på att stjäla data.
Skadlig kod som utnyttjar krypterad TLS-trafik blev vanligare, och vissa trojaner kombinerar numera helt legitima filer med krypterad kommunikation. Det gör dem svårare att upptäcka och kräver både beteendeanalys och aktivt skydd på varje enhet. En av de mest spridda hoten var en trojan kallad Agent.FZPI, som spreds via just TLS-krypterade förbindelser.
En annan trend är att angripare allt oftare använder så kallade LoTL-tekniker – attacker som bygger på legitima verktyg i operativsystemet. Samtidigt minskar användningen av traditionella scriptbaserade attacker, vilket tyder på att hotaktörerna väljer diskretare metoder för att undvika upptäckt.
Geografiskt fanns stora variationer. Den falska applikationen Cashback.B spreds exempelvis i särskilt hög grad i Chile och Irland, där den utgjorde en majoritet av alla upptäckta hot. Totalt sett minskade antalet olika typer av nätverksattacker med 16 procent, men de som faktiskt användes var mer målinriktade och ofta inriktade på äldre system med kända sårbarheter.
E-post fortsätter att vara den främsta spridningsvägen för malware. Med hjälp av AI blir bedrägerimejlen dessutom allt mer trovärdiga, vilket bidrar till att både nätverk och endpoints blir infekterade i högre takt.
Källa:
Help Net Security
av Mikael Winterkvist | jul 11, 2025 | Bluesky, Säkerhet, Threads
Storbritanniens nationella brottsbekämpande myndighet NCA har gripit fyra personer misstänkta för att ha deltagit i en rad omfattande cyberattacker mot brittiska detaljhandelsföretag. Bland offren finns Marks & Spencer, Co-op och Harrods.
De gripna är tre män i åldrarna 17 till 19 år samt en 20-årig kvinna. En av männen är medborgare i Lettland, övriga är brittiska medborgare. Gripandena skedde i London och West Midlands. I samband med insatserna beslagtogs även elektronisk utrustning.
Utpressning
Personerna misstänks för brott mot Storbritanniens dataintrångslagstiftning, utpressning, penningtvätt och medverkan i organiserad brottslighet.
Enligt utredarna är de kopplade till Scattered Spider – en välkänd cyberkriminell gruppering som använder social ingenjörskonst, SIM-kapning och nätfiske för att ta sig in i företags IT-system. Gruppen har också kopplingar till ransomware-operatören DragonForce.
Bland annat drabbades Marks & Spencers onlinesystem tidigare i år, vilket ledde till att företagets digitala verksamhet låg nere i nästan sju veckor. Co-op och Harrods utsattes kort därefter för liknande angrepp.
Framsteg
Paul Foster, chef för NCAs cyberenhet, kallar gripandena för ett viktigt framsteg men betonar att utredningen fortfarande pågår i samarbete med både nationella och internationella aktörer.
Marks & Spencers ordförande Archie Norman har uppgett att företaget tagit hjälp av FBI under utredningen och efterlyser lagstiftning som tvingar företag att rapportera allvarliga IT-incidenter. Företagen som drabbats har samarbetat med myndigheterna. Co-op har i ett uttalande betonat att “hacking inte är ett brott utan offer”.
Källor:
