CERT-SE:s veckobrev v.7

Idag kom nyheten om ett nytt samarbete gällande cybersäkerhet mellan Sverige och Ukraina, något som går att ta del av i veckobrevet. Utöver det kan du läsa om andra nyheter, rapporter och analyser inom cybersäkerhetsområdet.

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Odido, en telekomoperatör i Nederländerna, har drabbats av ett cyberangrepp där data från över sex miljoner kunder har stulits. Angreppet har inte påverkat telekomtjänster.
(NL Times, 12/2) https://nltimes.nl/2026/02/12/odido-cyber-attack-hackers-gained-access-62-million-peoples-data

På senare tid har har det blivit allt vanligare att cyberangrepp riktas mot utvecklare, genom bland annat skadliga tillägg och verktyg, fokuserade leveranskedjeangrepp, informationsstölder och påverkan på it-miljön.
(Computer Sweden, 12/2) https://computersweden.se/article/4130628/programvaruutvecklare-de-framsta-malen-for-cyberattacker-och-en-vaxande-riskfaktor-for-cisoer.html

Under tisdagsmorgonen gjorde ett okänt fel att det inte gick att hämta ut recept på apotek. E-hälsomyndigheten gick ut med att recepttjänsten åter var i full drift strax efter 13-tiden.
(E-hälsomyndigheten, 10/2) https://www.ehalsomyndigheten.se/verksamhet/driftinformation/recepttjansten/historik/

EU-kommissionens infrastruktur för managering av mobila enheter har blivit utsatt för ett cyberangrepp. En snabb respons av EU-kommissionen gjorde att incidenten kunde begränsas.
(EU-kommissionen, 6/2)
https://ec.europa.eu/commission/presscorner/detail/en/ip_26_342

Rapporter och analyser

Falska CAPTCHA-promptar har blivit en huvudsaklig startpunkt för angrepp där LummaStealer står i centrum igen. Förra året genomfördes en polisiär aktion riktad mot LummaStealer men nu är den skadliga koden tillbaka i ett delvis nytt angreppsflöde.
(Cybersecurity News, 12/2) https://cybersecuritynews.com/fake-captcha-attacks-emerge-as-entry-point-for-lummastealer/

Google rapporterar att angripare använder Googles AI-modell Gemini AI hela vägen från initial rekognosering till hanteringen efter genomförda angrepp. Flera hotaktörer använder Gemini AI för att till exempel skapa nätfiskemeddelanden, skriva skadlig kod och testa sätt att utnyttja sårbarheter.
(Bleeping Computer, 12/2) https://www.bleepingcomputer.com/news/security/google-says-hackers-are-abusing-gemini-ai-for-all-attacks-stages/

GreyNoise har publicerat ett blogginlägg som beskriver aktivt utnyttjande av aktuella Ivanti EPMM-sårbarheter. Enligt GreyNoise har ett stort antal försök att utnyttja sårbarheterna observerats från ett IP-nummer som inte tidigare omnämnts bland IOC:er. CERT-SE har tidigare publicerat en artikel om sårbarheterna och rekommenderar att omedelbart uppdatera sårbara produkter enligt tillverkarens rekommendationer samt att undersöka system efter indikationer på intrång.
(GreyNoise Research, 10/2) https://www.greynoise.io/blog/active-ivanti-exploitation

En årsrapport från Estland beskriver att kabelfel, avbrott och överbelastningsattacker inträffade mer ofta än väntat under 2025. Det var även ett år med rekordmånga bedrägerier.
(Estonia Information System Authority) https://www.ria.ee/en/cyber-security-estonia-2026

Tysklands underrättelsetjänst varnar för att statsunderstödda aktörer riktar in sig på högt uppsatta personer inom bland annat militär och politisk ledning genom nätfiske i kommunikationsapplikationer som exempelvis Signal. Hottaktörerna använder QR-koder, skapar falska support-meddelanden och använder sig av social manipulation istället för angrepp som bygger på tekniska sårbarheter. Angripare utnyttjar de vanliga inställningarna i Signal-appen för att komma åt privata chattar.
(Bleeping Computer, 6/2) https://www.bleepingcomputer.com/news/security/germany-warns-of-signal-account-hijacking-targeting-senior-figures/

Övrigt

Nu ingår Sverige och Ukraina ett samarbete som ska stärka Ukrainas motståndskraft på cyberområdet och samtidigt öka Sveriges förmåga att hantera avancerade cyberhot.
(Regeringen, 13/2)
https://www.regeringen.se/pressmeddelanden/2026/02/sverige-och-ukraina-ska-samarbeta-om-cybersakerhet/

I samband med månadens patchtisdag har Microsoft åtgärdat en RCE-sårbarhet i Windows 11 Notepad. Ett framgångsrikt utnyttjande av sårbarheten (CVE-2026-20841) innebär att angripare har kunnat gömma skadliga länkar i Markdown-filer (.md) som användare klickat på och därmed exekverat skadliga program. Markdown-stöd i Notepad innebär att användare kan öppna, editera och spara Markdown-filer.
(Bleeping Computer 11/2) https://www.bleepingcomputer.com/news/microsoft/windows-11-notepad-flaw-let-files-execute-silently-via-markdown-links/

Rapporten från polska certen om angrepp mot energisektorn som offentliggjordes den 30 januari belyser viktiga säkerhetsgap inom OT och ICS, något som CISA informerat om denna vecka.
(CISA, 10/2)
https://www.cisa.gov/news-events/alerts/2026/02/10/poland-energy-sector-cyber-incident-highlights-ot-and-ics-security-gaps

Förra fredagen samlade statsministern alla partiledare för att prata om riskerna för valpåverkan från främmande makt med anledning av de svenska valen 2026. Under 2025 utsattes flera europeiska val för påverkan genom cyberattacker, ryktesspridning och sabotage.
(SVT, 6/2) https://www.svt.se/nyheter/inrikes/varningarna-infor-valet-rykten-cyberattacker-och-deepfakes

Från CERT-SE

CERT-SE har publicerat en månatlig sammanställning av säkerhetsuppdateringar som Microsoft, Adobe, Cisco, SAP och Fortinet har offentligjort inför och i samband med patchtisdagen. CERT-SE rekommenderar att så snart det är möjligt installera säkerhetsuppdateringarna i enlighet med leverantörens anvisningar.
(11/2) https://www.cert.se/2026/02/patchtisdag-februari-2026-samlad-information-om-manadens-sakerhetsuppdateringar.html

Under 2026 kommer Nationellt cybersäkerhetscenter (NCSC) genomföra ett antal tekniska cybersäkerhetsövningar med fokus på MISP och incidenthantering. Läs mer om MISP-övningar under 2026 på cert.se.
(9/2)
https://www.cert.se/2026/02/misp-se-ovningar.html