CERT-SE startsida
Sök inom CERT-SE
Publicerad: 2026-02-20 12:15

CERT-SE:s veckobrev v.8

Veckobrev

Bland veckans läsning finns till exempel en rapport om ökade angrepp mot OT-system (och om du inte redan läst CERT-PL:s rapport om angrepp mot energisektorn, finns den också nedan). Veckobrevet består utöver det som vanligt av blandade nyheter, rapporter och analyser.

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Hotellkedjan Best Western har drabbats av ett cyberangrepp, där bokningsuppgifter för kunder i Sverige, Danmark och Norge har läckt. I ett meddelande via Whatsapp utger hotaktörerna sig för att vara Best Western där de uppmanar kunden att fylla i sina bankuppgifter.
(TV4, 18/2) https://www.tv4.se/artikel/44iJ6bPaIQro6rJMgZmnlv/hotellkedjan-utsatt-foer-cyberattack-kunduppgifter-har-laeckt

Det har kommit ett flertal rapporter med analyser gällande angrepp kopplade till de senaste sårbarheterna i Ivanti EPMM. En av de viktiga slutsatserna är att det inte räcker med säkerhetsuppdateringar och grundläggande spårning av intrång. Nätverksövervakning och extra skyddslager som en WAF (Web Application Firewall) är åtgärder som rekommenderas.
(Cyber Security News, 18/2)
https://cybersecuritynews.com/critical-ivanti-epmm-zero-day-vulnerabilities/

Tyska tågoperatören Deutsche Bahn har blivit utsatta för ett överbelastningsangrepp riktat mot deras bokningssystem. Operatören har tidigare blivit utsatt för angrepp, något som tyska myndigheter tror är en del av de återkommande sabotagen mot tysk tåginfrastruktur.
(Reuters, 18/2)
https://www.reuters.com/technology/german-railway-booking-systems-hit-by-ddos-attack-2026-02-18/

Under helgen förra veckan blev Flashback utsatta för överbelastningsangrepp enligt interneteverantören Bahnhof där Flashback har sina servrar. Bahnhofs vd Jon Karlung säger att analyser av loggar pekar på att det är en prorysk hotaktör som ligger bakom angreppet. Angreppet är ett av de större som de utsatts för.
(Sveriges radio, 16/2)
https://www.sverigesradio.se/artikel/prorysk-grupp-pekas-ut-for-overbelastningsattack-mot-flashback

Rapporter och analyser

Google Threat Intelligence har observerat ett antal hotaktörer som riktar in sig mot försvarsindustrin, ett mål för ideologiskt motiverade och finansiellt motiverade hotaktörer. Då försvarsindustrin är under stark tillväxt tillkommer nya medarbetare och nya leverantörer vilket ökar angreppsytan.
(The Hacker News, 13/2) https://thehackernews.com/2026/02/google-links-china-iran-russia-north.html

Check Point Research har upptäckt att vissa AI-assistenter som har rättigheter att använda webbläsaren kan utnyttjas som en C2-proxy, där angriparens handling smälter in i legitim trafik.
(Check Point Research, 17/2) https://research.checkpoint.com/2026/ai-in-the-middle-turning-web-based-ai-services-into-c2-proxies-the-future-of-ai-driven-attacks/

Cybersäkerhetsföretaget Dragos rapporterar en nästan 50% ökning av utpressningsangrepp på OT-system, i sin årliga sammanställning. Dragos rapporterar även om tre nya hotaktörer som riktar in sig på industriella styrsystem. Rapporten belyser hur OT-angrepp blir allt vanligare och att attribuering av hotaktörer kan vara utmanande.
(Infosecurity-magazine, 17/2), (Securityweek, 17/2) https://www.infosecurity-magazine.com/news/rise-in-ransomware-targeting/
https://www.securityweek.com/3-threat-groups-started-targeting-ics-ot-in-2025-dragos/
https://cert.pl/en/posts/2026/01/incident-report-energy-sector-2025/

Tidigare i veckan rapporterades om en nolldagssårbarhet i Dell RecoverPoint for Virtual Machines (CVE-2026-22769). Mandiant och Google Threat Intelligence har publicerat en rapport som visar att misstänkta kinesiska, statsunderstödda angripare utnyttjat sårbarheten sedan mitten av 2024. Rapporten innehåller även ett antal IOC:er som går att ta del av.
(Computer Sweden, 18/2), (Google, 17/2) https://computersweden.se/article/4133841/kinesiska-hackare-har-utnyttjat-sarbarhet-i-dell-mjukvara-sedan-2024.html
https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day

I en ny variant av Clickfix-angrepp använder hotaktörer DNS-förfrågningar för att leverera skadlig kod. Angreppet bygger på att användaren ska exekvera ett nslookup-kommando som leder till en DNS-server vilken kontrolleras av hotaktören istället för den DNS-server som är standardinställd för systemet.
(Bleeping Computer, 15/2) https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/

QR-koder används i allt större utsträckning för att sprida nätfiskeangrepp och skadliga appar. I Palo Alto Networks rapport framgår det att hotaktörer använder kortnamn för URL:er för att dölja sina angrepp, länkar i appar för att stjäla kontoinformation och kontrollera appar samt metoder för att kringå säkerhet i betrodda app stores.
(Palo Alto Networks, 13/2) https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/

Övrigt

Säkerhetspolisen har publicerat en uppdaterad version av handboken “Personlig säkerhet” som riktar sig till förtroendevalda och andra personer med särskild utsatthet.
(Aktuell säkerhet, 18/2) https://www.aktuellsakerhet.se/sakerhetspolisen-publicerar-uppdaterad-handbok-om-personlig-sakerhet/

Säkerhetsexperter har observerat sårbarheter i fyra olika molnbaserade lösenordshanterare, som möjliggör att hotaktörer kan ändra i offrens lösenordsvalv.
(Infosecurity-magazine, 16/2) https://www.infosecurity-magazine.com/news/vulnerabilities-password-managers/

Sverige inför nationell roaming vid höjd beredskap, det vill säga att om det vanliga nätet ligger nere kommer det finnas ett annat nät via mobilens inställningar.
(ComputerSweden, 19/2) https://computersweden.se/article/4134497/sverige-infor-nationell-roaming-vid-hojd-beredskap.html

Från CERT-SE

Dell har publicerat information om en kritisk sårbarhet (CVE-2026-22769) som påverkar RecoverPoint for Virtual Machines. Sårbarheten är kritisk och har en CVSS v3.1-klassning på 10. https://www.cert.se/2026/02/kritisk-sarbarhet-i-dell-recoverpoint.html