Europeiska rymdorganisationen bekräftar intrång i externa servrar

Europeiska rymdorganisationen (ESA) har bekräftat en cyberincident som involverar servrar utanför organisationens interna företagsnätverk, efter påståenden från en hotaktör på hackingforumet BreachForums. Angriparen uppgav att de haft tillgång till ESA:s system i cirka en vecka och delade skärmbilder som tyder på insyn i JIRA- och Bitbucket-miljöer.
I ett uttalande sade ESA att de berörda servrarna stödde oklassificerade samarbetande ingenjörsaktiviteter inom forskarsamhället och att endast ett mycket begränsat antal externa system påverkades. En forensisk säkerhetsanalys pågår och åtgärder har vidtagits för att säkra eventuellt berörda enheter. ESA tillade att alla relevanta intressenter har informerats och att ytterligare uppdateringar kommer att lämnas i takt med att utredningen fortskrider.
Även om ESA inte har bekräftat någon datastöld hävdar hotaktören att över 200 GB data har exfiltrerats, inklusive privata Bitbucket-repositorier. Händelsen följer ett tidigare intrång i slutet av 2024, då ESA:s officiella webbshop komprometterades med skadlig kod för att stjäla kund- och betalningsuppgifter.

Tidigare incident response-anställda erkänner skuld i BlackCat-ransomwareattacker

Två tidigare anställda vid cyber security-incident response-företagen Sygnia och DigitalMint har erkänt sin inblandning i BlackCat (ALPHV) ransomwareattacker mot amerikanska organisationer under 2023. Ryan Clifford Goldberg, tidigare incident response-chef på Sygnia, och Kevin Tyler Martin, tidigare ransomwareförhandlare på DigitalMint, erkände konspiration för att hindra handel genom utpressning. Båda ska dömas i mars 2026 och riskerar upp till 20 års fängelse.
Domstolshandlingar visar att de tillsammans med en tredje medbrottsling agerade som BlackCat-affiliates och tog sig in i flera amerikanska företags nätverk mellan maj och november 2023. Bland offren fanns organisationer inom läkemedel, ingenjörsverksamhet, hälso- och sjukvård samt drönartillverkning. Lösensummekraven varierade mellan 300 000 och 10 miljoner dollar, med minst 1,27 miljoner dollar bekräftat betalda.
Amerikanska myndigheter uppgav att fallet belyser den växande insider risken, särskilt när betrodd cyber security-kompetens missbrukas för kriminella syften.

Ransomwareattack stör Rumäniens största kolbaserade energiproducent

Rumäniens största kolbaserade elproducent, Oltenia Energy Complex, har drabbats av en ransomwareattack som slog ut delar av IT-infrastrukturen på annandag jul. Företaget bekräftade att flera system påverkades, inklusive ERP-plattformar, dokumenthanteringssystem, e-posttjänster och den publika webbplatsen, efter att filer och dokument krypterats.
Även om incidenten delvis påverkade verksamheten uppgav Oltenia Energy Complex att elproduktionen och stabiliteten i det nationella energisystemet inte äventyrades. IT-teamen påbörjade omedelbart återuppbyggnaden av de drabbade systemen på en ny infrastruktur med hjälp av befintliga säkerhetskopior, och en utredning pågår för att fastställa om data exfiltrerades före krypteringen.
Attacken har rapporterats till Rumäniens nationella cyber security-direktorat, energiministeriet och DIICOT. Ransomwaregruppen Gentlemen tros ligga bakom. Händelsen följer andra nyligen inträffade ransomwareattacker mot rumänsk kritisk infrastruktur och understryker den fortsatta exponeringen för hot inom energi- och offentlig sektor.

Aflac-dataintrång exponerar personuppgifter för 22,6 miljoner människor

Försäkringsjätten Aflac har bekräftat ett omfattande dataintrång som resulterade i stöld av personuppgifter tillhörande cirka 22,65 miljoner individer. Företaget upptäckte misstänkt aktivitet i sitt amerikanska nätverk den 12 juni 2025 och offentliggjorde incidenten den 20 juni, där den tillskrevs en sofistikerad cyberkriminell grupp som riktade in sig på försäkringssektorn.
Aflac uppgav att attacken snabbt begränsades och att externa cyber security-specialister anlitades för att stödja incidenthanteringen. Företaget bekräftade att ingen ransomware distribuerades och att verksamheten inte stördes. Efter en omfattande utredning, som slutfördes strax före jul, började Aflac att underrätta de drabbade individerna.
De komprometterade uppgifterna inkluderar namn, adresser, personnummer, födelsedatum, statligt utfärdade ID-handlingar samt medicinsk och sjukförsäkringsrelaterad information. Aflac uppgav att man för närvarande inte känner till något bedrägligt bruk av uppgifterna och erbjuder 24 månaders kostnadsfri kreditövervakning, skydd mot identitetsstöld och medicinskt bedrägeriskydd. Intrånget tros vara en del av en bredare kampanj mot försäkringsbolag.

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.