Italien blockerar misstänkta ryska cyberattacker inför vinter-OS

Italienska myndigheter har bekräftat att de avvärjt en rad cyberattacker riktade mot statlig infrastruktur och OS-anknutna webbplatser under dagarna före vinter-OS. Utrikesminister Antonio Tajani uppgav att attackerna var av ryskt ursprung och inkluderade försök att störa italienska utrikesministeriets system, en ambassads webbplats i Washington, D.C., och onlineplattformar kopplade till spelen och hotell i Cortina d'Ampezzo.

Tidpunkten har väckt oro, eftersom vinter-OS inleds senare i veckan och Ryssland inte får tävla som nation på grund av det pågående kriget i Ukraina. Endast ett begränsat antal ryska idrottare tillåts delta under neutral flagg.

Incidenten belyser också den växande geopolitiska spänningen kring cybersäkerhet. I USA har president Donald Trumps senaste kommentarer om att Ryssland inte ses som ett stort cyberhot kritiserats av experter. Samtidigt har amerikanska tjänstemän fortsatt att offentligt varna för cyberrisker från Kina och Iran, vilket understryker olika hotuppfattningar vid en känslig tidpunkt för globala händelser.

Ransomware-grupper utnyttjar kritiskt VMware ESXi-fel

CISA har bekräftat att ransomware-grupper aktivt utnyttjar CVE-2025-22225, en mycket allvarlig VMware ESXi-sårbarhet som gör det möjligt för angripare att undkomma isolering av virtuella maskiner och få kontroll över den underliggande hypervisorn. Bristen, som patchades av Broadcom i mars 2025, är klassad som Important med en CVSS-poäng på 8,2 och möjliggör godtyckliga kärnskrivningar från VMX-processen.

Sårbarheten avslöjades tillsammans med två andra zero-days, CVE-2025-22224 och CVE-2025-22226, som angripare kedjar ihop för att uppnå full VM escape. CISA lade till CVE-2025-22225 i sin katalog över kända exploaterade sårbarheter, vilket kräver att amerikanska federala myndigheter patchas enligt BOD 22-01.

Nya underrättelser kopplar bristen till aktiva ransomware-kampanjer som riktar sig mot företags hypervisorer, ofta efter initial åtkomst på administratörsnivå. Eftersom tiotusentals exponerade ESXi-instanser fortfarande inte är patchade uppmanas organisationer att omedelbart tillämpa uppdateringar, begränsa administratörsbehörigheter och övervaka indikatorer på kompromisser för att minska risken för utbredd kryptering och datastöld.

Inkognitooperatör på den mörka webbens narkotikamarknad dömd till 30 års fängelse

En taiwanesisk man har dömts till 30 års fängelse för att ha drivit Incognito Market, en av världens största marknadsplatser för narkotika på nätet, som underlättade illegal narkotikaförsäljning för mer än 105 miljoner USD över hela världen. Rui-Siang Lin, 24, även känd som Pharoah, erkände sig skyldig till penningtvätt och flera anklagelser om konspirationer i samband med narkotikahandel efter att han greps i maj 2024.

Amerikanska åklagare beskrev Incognito Market som ett stort kriminellt företag med mer än 1 800 säljare, över 400 000 kundkonton och hundratusentals transaktioner. Plattformen möjliggjorde försäljning av mer än ett ton narkotika, inklusive metamfetamin, kokain, amfetamin och MDMA, med vissa ämnen spetsade med fentanyl.

Domare Colleen McMahon kallade det för det allvarligaste narkotikafallet hon hade stött på under nästan tre decennier och beskrev verksamheten som ett företag som förvandlade Lin till en global drogkung. Polisen avvecklade slutligen marknadsplatsen genom att beslagta viktiga servrar som användes för transaktioner, DDoS-skydd och kryptovalutabetalningar, vilket satte stopp för verksamheten i mars 2024.

AI-driven nätfiske ökar i en aldrig tidigare skådad skala

Nätfiskeaktiviteten ökade kraftigt under 2025, med säkerhetsfilter som blockerade ett skadligt e-postmeddelande var 19:e sekund, mer än dubbelt så mycket som föregående år, enligt forskare. Ökningen drivs av att hotaktörer bygger in artificiell intelligens direkt i sina nätfiskeoperationer, vilket gör att kampanjer kan genereras, anpassas och distribueras i stor skala.

Den senaste forskningen visar att angripare använder AI för att producera nästan felfria e-postmeddelanden på lokala språk och för att köra mycket personliga, polymorfa kampanjer som ständigt ändrar utseende. Tre fjärdedelar av nätfiskeadresserna var unika, vilket hjälper attackerna att undgå traditionell upptäckt. Anmärkningsvärt är att 18 procent av phishing-mejlen inte innehöll några länkar eller bilagor, vilket visar på den fortsatta ökningen av kompromisser med företagsmejl.

Rapporten visar också en 105-procentig ökning av användningen av fjärråtkomstverktyg och en 204-procentig ökning av phishing-meddelanden med skadlig kod. Eftersom angriparna missbrukar legitim programvara och snabbt föränderlig infrastruktur, varnar forskarna för att analys efter leverans och mänsklig validering nu är avgörande för att identifiera hot som kringgår perimeterbaserade försvar.

SQL-injektionsfel påverkar tusentals WordPress-webbplatser

Mer än 40.000 WordPress-webbplatser har utsatts för risker efter upptäckten av en SQL-injektionssårbarhet i det populära Quiz and Survey Master-plugin-programmet. Felet påverkade version 10.3.1 och tidigare och kan utnyttjas av alla autentiserade användare med åtkomst på prenumerantnivå eller högre, vilket avsevärt breddar den potentiella attackytan.

Problemet härrörde från en REST API-funktion som användes för att hämta data om frågesportsfrågor. En request-parameter, is linking, antogs felaktigt vara numerisk och infogades direkt i en databasfråga utan korrekt validering eller sanering. Detta gjorde det möjligt för en illasinnad användare att injicera ytterligare SQL-kommandon, vilket potentiellt möjliggjorde obehörig åtkomst till webbplatsens databaser.

Sårbarheten, som spåras som CVE-2025-67987, avslöjades på ett ansvarsfullt sätt och har nu åtgärdats i version 10.3.2 av plugin-programmet. Korrigeringen verkställer strikt heltalshantering av den berörda parametern, vilket förhindrar skadlig inmatning. Även om det inte finns några bevis för aktiv exploatering, belyser händelsen pågående risker inom brett distribuerade plugins och vikten av snabb patchning och säkra kodningsmetoder.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.