Publicerad: 2026-02-06 15:15

CERT-SE:s veckobrev v.6

Måndagen 9 februari lanseras MISP-SE, något som du kan läsa mer om nedan tillsammans med andra nyheter, rapporter och analyser inom cybersäkerhetsområdet.

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Italiens utrikesminister Antonio Tajani har offentligt uttalat sig om att italienska säkerhetstjänster avstyrt ett flertal försök till ryska cyberangrepp mot anläggningar och hotell kopplade till det pågående vinter-OS.
(The Register, 5/2) https://www.theregister.com/2026/02/05/winter_olympics_russian_attacks/

Rumänska nationella oljeledningsoperatören, Conpet, offentliggjorde att de utsatts för ett cyberangrepp. Cyberangreppet påverkade IT-infrastrukturen, men den operationella verksamheten blev inte påverkad. Den kriminella gruppen Qilin har tagit på sig angreppet.
(BleepingComputer, 5/2) https://www.bleepingcomputer.com/news/security/romanian-oil-pipeline-operator-conpet-discloses-cyberattack-qilin-ransomware/

Notepad++ systemuppdateringsfunktion har blivit angripen av förmodat statsunderstödda hotaktörer som dragit nytta av en avsaknad gällande validering vid uppdatering till nya versioner av mjukvaran. Utvalda mål har slussats till servrar med skadlig kod, istället för till den oridnarie uppdateringsrutinen. Det initiala intrånget hos Notepad++ bedöms ha skett för flera månader sedan.
(Bleeping Computer, 2/2) https://computersweden.se/article/4126223/notepad-kapat-av-hackare-i-ett-halvar.html

Truesec har observerat att ryska hotalliansen, the Russian Legion, under förra veckan riktade sig mot Danmark under operationen “OpDenmark”. Enligt Truesecs bedömning är The Russian Legion en statsunderstödd hotaktör som använder sig av cybersabotage och hacktivism för att skapa oro och osäkerhet i samhället.
(Cybersecurity News, 2/2) https://cybersecuritynews.com/russian-hacker-alliance-targeting-denmark/

Rapporter och analyser

I en analys från PaloAlto Networks beskrivs en förmodat ny hotaktör som genomfört intrång i kritisk infrastruktur i 37 länder, och som nyligen har genomfört sonderingar i totalt 155 länder. Hotaktören förmodas vara statsunderstödd och baserad i Asien.
(PaloAlto Networks, 5/2) https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/

En kritisk sårbarhet (CVE-2026-25049) i n8n automatiseringsplattform skulle kunna ge en hotaktör möjlighet att exekvera godtyckliga systemkommandon och tillgång till känslig information. Sårbarheten gör det möjligt att kringgå den säkerhetsuppdatering som nyligen genomförts gällande en annan kritisk n8n-sårbarhet (CVE-2025-68613).
(Bleeping Computer, 4/2) https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/

Enligt en rapport från Check Point Software har cyberangreppen mot offentlig sektor och sjukvården ökat i Europa. Angreppsmetoden ClickFix har ökat med 500 procent, en metod som är anpassad för att kringgå antivirusprogram för att i förlängningen köra skadlig kod.
(TV4, 4/2) https://www.tv4.se/artikel/297qc3Xn6MB6SOjp4KyuF/tusentals-attacker-mot-svenska-varden-varje-vecka-lavinartat

I en rapport från Cyfirma beskrivs en stark ökning av cyberhot mot system inom vattenrening och energiförsörjning. Antalet identifierade hotkampanjer från statsaktörer som riktar sig mot denna typ av system har enligt rapporten ökat den senaste tiden.
(Industrial Cyber, 4/2) https://industrialcyber.co/utilities-energy-power-water-waste/energy-and-utilities-cyber-threats-escalate-as-ransomware-and-apt-activity-rise-cyfirma-reports/

En ny hotaktör som kallar sig 0APT har på kort tid listat ett stort antal påstådda offer för utpressningsangrepp. Hotaktören tycks dock simulera information och förpacka den som påstådd stulen information för att försöka utöva utpressning genom att skapa osäkerhet och negativ publicitet, även om intrång eller informationsstöd inte ägt rum.
(Data breach, 4/2) https://databreach.com/news/44-how-0apt-is-using-random-noise-to-fake-a-ransomware-empire

Ukrainska CERT-UA rapporterar om att ryska hotaktörer utnyttjar CVE-2026-21509, en sårbarhet i Microsoft Office. CERT-UA har bland annat observerat nätfiske som kommer från en avsändare som utger sig vara från ukrainska meteorologiska och hydrologiska centrum. Dessa e-postmeddelanden har skickats till ett 60-tal myndighetsadresser i Ukraina och i länder inom EU. Angreppet har attribuerats till APT28, en statsunderstödd hotaktör som även går under namn som Fancy Bear och Sofacy, och knyts till GRU. CERT-SE har tidigare publicerat en artikel om den aktuella sårbarheten.
(Bleeping Computer, 2/2) https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/

Övrigt

Årets Cyber Challenge har avslutats, samtidigt som Industry Day genomfördes där CERT-SE var representerade. En dag fylld av intressanta diskussioner, innovativa idéer och ett stort engagemang för cybersäkerhet. Grattis till vinnarna Glory To The Heroes!
(FHS, 5/2) https://www.fhs.se/arkiv/nyhetsarkiv/2026/2026-02-05-studenter-tog-sig-an-komplexa-sakerhetsutmaningar-i-cyber-challenge.html

Det är ett mycket stort intresse gällande CERT-SE:s lanseringswebbinarie för MISP-SE som äger rum den 9 februari. Alla platser (1 500) är nu uppbokade, men vi kommer att göra information från webbinariet tillgänglig för de som inte har möjlighet att lyssna in.
(Nationellt cybersäkerhetscenter, 3/2) https://www.ncsc.se/sv/aktuellt/misp-se--sveriges-nationella-plattform-for-delning-av-cyberhot/

Enligt en undersökning från Novus på uppdrag av Trygg-Hansa anser mer än hälften av de tillfrågade företagen i undersökningen att AI-utvecklingen ökar risken för cyberattacker och bedrägerier, däribland genom deepfakes och nätfiskekampanjer.
(Computer Sweden, 2/2) https://computersweden.se/article/4125546/svenska-foretag-ser-okad-risk-for-bedragerier-med-ai.html

Från CERT-SE

SolarWinds har publicerat uppdateringar som åtgärdar fyra kritiska sårbarheter i SolarWinds Web Help Desk, samtliga har fått en CVSS-klassning på 9.8. Framgångsrikt utnyttjande av sårbarheterna innebär att en angripare kan kringgå autentisering, fjärrexekvera kod och tillskansa sig åtkomst till administrativa funktioner. Sårbarheten CVE-2025-40551 har lagts till i CISA:s Known Exploited Vulnerabilities (KEV).
(Publicerad 29/1, uppdaterad 4/2) https://www.cert.se/2026/01/kritisk-sarbarhet-i-solarwinds-web-help-desk.html

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-02-06 15:15

CERT-SE:s veckobrev v.6

Måndagen 9 februari lanseras MISP-SE, något som du kan läsa mer om nedan tillsammans med andra...

Veckobrev
2026-02-04 08:30 Uppdaterad

Kritiska sårbarheter i SolarWinds Web Help Desk

SolarWinds har publicerat uppdateringar som åtgärdar följande fyra kritiska sårbarheter i SolarWinds Web Help Desk: ...

Sårbarhet SolarWinds
2026-01-30 14:50

CERT-SE:s veckobrev v.5

Denna vecka har det rapporterats om ett flertal sårbarheter, bland annat gällande nolldagssårbarheter i Microsoft Office...

Veckobrev
2026-01-30 10:05

Kritiska sårbarheter i Ivanti EPMM

Ivanti har publicerat säkerhetsuppdateringar för två kritiska sårbarheter i Ivanti Endpoint Manager Mobile (EPMM). [1]

Sårbarhet Ivanti EPMM
2026-01-27 12:30

Allvarlig nolldagssårbarhet i Microsoft Office

Microsoft har publicerat information om en nolldagssårbarhet i Microsoft Office som exploateras av hotaktörer [1]. Sårbarheten...

Sårbarhet Microsoft Office

Nyheter