Publicerad: 2026-05-22 14:15

CERT-SE:s veckobrev v.21

I veckans läsning finns ett urval av nyheter, analyser och rapporter inom cybersäkerhetsområdet från veckan som har gått.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

Under torsdagen resulterade en driftstörning hos företaget Nets i problem med att genomföra kortbetalningar i Sverige, Norge och Danmark, enligt SVT Nyheter. Nets meddelade vid 17-tiden på torsdagen att problemen var lösta. I Norden använder sig över 140 000 företag av betallösningar genom företaget, vars preliminära bedömning är att det tekniska felet var internt.
(SVT Nyheter, 21/5)
https://www.svt.se/nyheter/inrikes/problem-med-kortbetalningar-efter-driftstorning

GitHub har utsatts för ett angrepp där angripare tillskansat sig åtkomst till närmare 4 000 interna repositories. Företaget bekräftar att obehörig åtkomst till repositories har identifierats, samt att grundorsaken kan kopplas till att en Github-anställd installerat ett skadligt tillägg till VS Code. GitHubs utredning visar att angriparen enbart, men framgångsrikt, exfiltrerat data från GitHubs interna repositories, utan någon bekräftad påverkan på publika eller kundhostade repositories.
(Cyber Security News, 20/5)
https://cybersecuritynews.com/github-data-breach/

Självreplikerande skadlig kod är fortsatt en utmaning, bland de aktuella händelserna finns en upptäckt av fyra nya npm-paket som innehåller skadlig kod och som kan leda till informationsstöld. Ett av dessa paket är en klon av Shai-Hulud, paketet “chalk-tempalte”. Användare som har laddat ner paketen bör omedelbart avinstallera dem. Dessutom bör användare identifiera och radera skadliga konfigurationer från exempelvis Claude Code, rotera känsliga uppgifter, kontrollera GitHub-repositories efter strängen “A Mini Sha1-Hulud has Appeared” och blockera nätverksåtkomst till misstänkta domäner.
(The Hacker News, 18/5)
https://thehackernews.com/2026/05/four-malicious-npm-packages-deliver.html

Analysföretaget Grafana Labs har utsatts för ett dataintrång, där hotaktörer tillskansat sig åtkomst till företagets kodbas, för att sedan utöva utpressning. Företaget uppger att kunddata och personlig information inte har varit en del av angreppet, samt att företagets kundsystem och drift inte har påverkats. Grafana Labs har meddelat att företaget inte kommer att betala den lösensumma som hotaktören krävt företaget på. CERT-SE rekommenderar att offer för utpressningsangrepp aldrig betalar lösensumma, då det inte finns några garantier för systemåterställning.
(The Record, 18/5)
https://therecord.media/grafana-refuses-to-pay-ransom-codebase-theft …
(CERT-SE) https://www.cert.se/tema/ransomware/

Rapporter och analyser

Verizon har publicerat sin återkommande rapport gällande analyser av dataintrång. I årets rapport har företaget tittat på över 31 000 säkerhetsincidenter och 22 000 intrång i 145 länder. Rapporten förstärker bilden av AI som ett kraftfullt och allt mer utbrett verktyg för hotaktörer, som sätter ökad press på verksamheter att snabbare åtgärda sårbarheter i sina system.
(HackRead, 20/5)
https://hackread.com/verizon-dbir-ai-hackers-exploit-vulnerabilities-breaches/

Microsoft Threat Intelligence har publicerat information om hur hotaktören Storm-2949 riktat in sig på Microsoft 365 och Azure-produktionsmiljöer för att stjäla data och komma åt administrationsfunktioner hos användare. Genom social manipulation riktad mot användare med privilegierade roller, som exempelvis it-personal eller ledande befattningshavare, lyckades hotakören få tillgång till data i Microsoft 365-applikationer. Genom Self-Service Password Reset (SSPR) initieras en lösenordsåterställning, vilken sedan ska godkännas av offret med flerfaktorautentisering (MFA). Hotaktörerna har utgett sig för att vara it-support och därmed lyckats återställa lösenord, ta bort MFA-kontroller och registrerat Microsoft Authenticator på egna enheter. CERT-SE har tidigare publicerat råd kring hur organisationer i förebyggande syfte, och med enkla medel, kan höja säkerheten i Microsoft 365-miljöer. För mer information, se CERT-SE:s webbplats.
(Microsoft, 18/5)
https://www.microsoft.com/en-us/security/blog/2026/05/18/storm-2949-turned-compromised-identity-into-cloud-wide-breach/ …
(Bleeping Computer, 19/5)
https://www.bleepingcomputer.com/news/security/microsoft-self-service-password-reset-abused-in-azure-data-theft-attacks/ …
(CERT-SE, 7/5)
https://www.cert.se/2026/03/forebyggande-atgarder-for-att-sakra-upp-m365-miljoer.html

SANS har publicerat en komplettering till tidigare analyser av mdrfckr-kampanjen som belyser att det inte räcker med att förlita sig på historiska indikatorer för att upptäcka en angripare. Förr var det lättare att spåra angripare från kampanjen då samma SSH-fingeravtryck användes, men givet att angripare använder en ny version av sitt SSH-bibliotek blir det svårare att upptäcka. Analysen ger insikter gällande att hotaktörers små tekniska förändringar kan räcka för att kringgå säkerhetsåtgärder.
(SANS, 15/5)
https://isc.sans.edu/diary/Guest+Diary+New+Malware+Libraries+means+New+Signatures/32986/

Övrigt

Cybercampus, Sweden Secure Tech Hub och SSF Stöldskyddsföreningen har tagit fram en guidebok i cybersäkerhet som riktar sig till små och medelstora företag. Guiden innehåller konkreta råd och expertperspektiv samt tipsar om vilka första steg organisationer kan ta för att komma igång med cybersäkerhetsarbetet.
(Cybercampus, 19/5)
https://www.cybercampus.se/articles/new-cybersecurity-guidebook-for-smes-1.1476289

“The backbone of business continuity is cyber resilience” slår Security Week fast i en artikel, där de skriver att de organisationer som är bäst förberedda på att möta störningar är de som samordnar säkerhet, kontinuitet och riskhantering. Förebyggande arbete och förberedande åtgärder påverkar i hög grad hur väl en organisation lyckas med incidenthanteringen när en it-säkerhetsincident inträffar. Enligt Security Week behöver organisationer på en övergripande nivå ha eskaleringsrutiner, it-säkerhetspolicys, kontinuitetplaner, krisplaner, utbildat sina användare, klargjort ansvar och mandat, etablerat kontakter och skapat kontaktlistor samt veta hur kommunikationen ska genomföras vid en incident, skriver Security Week.
(Security Week, 19/5)
https://www.securityweek.com/cyber-resilience-is-the-new-business-continuity-plan/

Säkerhetskollen har publicerat information om att bedragare har skickat ut bluffmejl som ser ut att komma från branschorganisationen Svensk Försäkring. Enligt Säkerhetskollen är det sannolikt att det handlar om försök till bedrägeri och uppmanar mottagare att inte klicka på några länkar i mejl som påstås komma från organisationen.
(Säkerhetskollen, 18/5)
https://sakerhetskollen.se/aktuella-brott/bluffmejl-som-pastas-komma-fran-svensk-forsakring

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-05-22 14:15

CERT-SE:s veckobrev v.21

I veckans läsning finns ett urval av nyheter, analyser och rapporter inom cybersäkerhetsområdet från veckan som...

Veckobrev
2026-05-15 13:15

CERT-SE:s veckobrev v.20

Denna vecka vill vi tipsa om att vi har publicerat enkla och korta ”Tabletop”-övningar för hantering...

Veckobrev
2026-05-15 10:45

Kritisk sårbarhet i Cisco Catalyst SD-WAN Controller och SD-WAN Manager

Cisco har publicerat information om en kritisk sårbarhet som fått den högsta CVSS-klassningen på 10.0. [1]...

Sårbarhet Cisco SD-WAN
2026-05-12 10:32

Patchtisdag maj 2026 – samlad information om månadens säkerhetsuppdateringar

Flera leverantörer har släppt sina månatliga säkerhetsuppdateringar för maj. Nedan finns en sammanställning av de säkerhetsuppdateringar...

Sårbarhet Patchtisdag Microsoft Fortinet SAP Ivanti Adobe
2026-05-08 15:10

CERT-SE:s veckobrev v.19

I veckans brev kan du läsa om angreppet mot utbildningsplattformen Canvas, som tillhandahålls av det amerikanska...

Veckobrev

Nyheter