NCSC varnar CNI-operatörer att agera nu mot allvarliga cyberhot

National Cyber Security Centre har utfärdat en skarp varning till brittiska operatörer av kritisk nationell infrastruktur och uppmanar till omedelbara åtgärder för att försvara sig mot vad man beskriver som "allvarliga" cyberhot. Varningen följer på samordnade cyberattacker i december som riktade sig mot Polens energiinfrastruktur med hjälp av skadlig kod, vilket understryker den verkliga risken för viktiga tjänster.

Jonathan Ellison, NCSC:s chef för nationell motståndskraft, betonade att störningar i den dagliga verksamheten inte är en avlägsen möjlighet utan ett aktivt och växande hot. Han uppmanade operatörer inom energi, vatten, transport, hälsa och telekommunikation att utan dröjsmål stärka sitt cyberförsvar och sin motståndskraft.

Allvarliga hot definieras som avsiktliga, mycket störande eller destruktiva attacker som är utformade för att stänga ner verksamheter, skada industriella kontrollsystem eller radera data för att förhindra återställning. Som svar på detta råder NCSC organisationer att förbättra hotövervakningen, öka situationsmedvetenheten och stärka nätverken genom bästa praxis som patchning, åtkomstkontroll och multifaktorautentisering.

Ellison lyfte också fram Cyber Security and Resilience Bill som ett viktigt steg för att stärka Storbritanniens kollektiva försvar mot moderna cyberhot.

Tyskland går mot legalisering av offensiva cyberoperationer

Tyskland förbereder enligt uppgift ny lagstiftning som formellt skulle ge landets underrättelsetjänster rätt att utföra offensiva cyberoperationer mot fientliga aktörer. Om förslaget går igenom skulle Berlin närma sig Storbritannien och USA, som båda redan har tydligare rättsliga ramar för motåtgärder på cyberområdet.

De föreslagna åtgärderna skulle göra det möjligt för tyska myndigheter att använda avancerad, AI-driven cyberkapacitet för att svara på attacker och avskräcka motståndare i ett alltmer komplext hotlandskap. Tysklands militär skulle också få utökade befogenheter att svara på "hybridhot", där cyberoperationer, desinformation och digital störning kombineras med konventionell militär aktivitet.

Tjänstemännen hävdar att moderna konflikter inte längre är begränsade till fysiska slagfält och att nationella försvarsstrategier måste utvecklas i enlighet med detta. En nolltolerans förväntas för cyberattacker mot kritisk infrastruktur, inklusive energi-, transport- och luftfartssystem.

Frågan kommer sannolikt att få en framträdande plats vid den kommande säkerhetskonferensen i München, där de europeiska ledarna fortsätter att balansera cyberavskräckning med oro för upptrappning och ansvarsfullt statligt beteende i cyberrymden.

Microsoft Patch Tuesday åtgärdar sex exploaterade nolldagar

Microsofts Patch Tuesday för februari 2026 levererar säkerhetsuppdateringar för 58 sårbarheter, inklusive sex aktivt utnyttjade zero-days och tre som offentliggjordes innan korrigeringar fanns tillgängliga. Fem av bristerna är klassade som "kritiska" och omfattar risker för förhöjda privilegier och informationsavslöjande, där frågor om förhöjda privilegier utgör den största övergripande kategorin den här månaden.

Särskilt oroande är flera sårbarheter för förbikoppling av säkerhetsfunktioner som påverkar Windows Shell, MSHTML och Microsoft Word, tillsammans med utnyttjade brister i Desktop Window Manager och Remote Desktop Services som kan göra det möjligt för angripare att få åtkomst på SYSTEM-nivå. Microsoft har lämnat begränsade tekniska detaljer, men flera av problemen har kopplats till verklig exploatering av professionella hotaktörer.

Vid sidan av sårbarhetsfixarna har Microsoft påbörjat en stegvis utrullning av nya Secure Boot-certifikat, som ersätter certifikat från 2011 som löper ut i juni 2026. Uppdateringen förlitar sig på signaler om enhetens hälsa för att minska risken för utrullning.

Organisationer rekommenderas starkt att prioritera patchning, se över kontroller för privilegierad åtkomst och övervaka tecken på exploatering, särskilt i Windows-slutpunkter och fjärråtkomsttjänster.

Ransomware-grupp missbrukar övervakningsverktyg för anställda

Forskare har avslöjat ett ransomware-intrång där en medlem av Crazy ransomware-gäng missbrukade legitim programvara för övervakning av anställda och fjärrsupport för att upprätthålla åtkomst i företagsnätverk. Angriparna distribuerade Net Monitor for Employees Professional tillsammans med SimpleHelp fjärrsupportverktyg, så att de kunde smälta in i normal administrativ aktivitet medan de tyst förberedde sig för ransomware-distribution.

I de incidenter som analyserades installerade hotaktören övervakningsprogrammet direkt från leverantörens webbplats med hjälp av vanliga Windows-verktyg och fick möjlighet att visa skrivbord, överföra filer och utföra kommandon på distans. För extra uthållighet installerades SimpleHelp med hjälp av PowerShell och förkläddes med filnamn som liknade betrodda applikationer, inklusive OneDrive-komponenter. Detta säkerställde fortsatt åtkomst även om ett verktyg togs bort.

Forskarna observerade också försök att inaktivera WindowsDefender och konfigurera varningar för kryptovalutaplånboksaktivitet, vilket signalerar förberedelse för både ransomware och stöld. Aktiviteten belyser en växande trend inom ransomware-operationer som missbrukar legitima verktyg, vilket förstärker behovet av att övervaka programvara för fjärråtkomst och genomdriva MFA på alla VPN-tjänster.

Statligt stödda hackare använder AI som vapen i cyberattacker

Statligt sponsrade hotaktörer använder i allt högre grad generativ AI för att stödja cyberoperationer från början till slut, enligt nya resultat från Googles Threat Intelligence Group. Grupper kopplade till Kina, Iran, Nordkorea och Ryssland observerades använda Googles Gemini-modell för spaning, målprofilering, skapande av phishing-lurar, utveckling av skadlig kod och aktivitet efter kompromettering.

Forskarna fann att vissa aktörer använde AI för att analysera sårbarheter, testa exploateringar, översätta innehåll och felsöka skadlig kod, medan andra utnyttjade det för att påskynda social engineering-kampanjer. I flera fall var AI-assisterade verktyg knutna till phishing-kit och ramverk för skadlig kod som utformats för att stjäla referenser, distribuera nyttolaster i andra steget och undvika upptäckt.

Google varnade också för försök att extrahera och replikera AI-modeller i stor skala genom automatiserad uppmaning och kunskapsdestillation, och beskrev detta som en växande immateriell egendom och säkerhetsrisk. Även om inga dramatiska tekniska språng identifierades förväntar sig Google att AI kommer att bli alltmer inbäddat i angriparnas arbetsflöden, vilket förstärker behovet av starkare upptäckt, identitetssäkerhet och användarmedvetenhet när AI-drivna hot mognar.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.