Content
01. News Bites
- Storbritannien planerar förbud mot lösenbetalningar inom offentlig sektor
- Zero-day sårbarhet i SharePoint har drabbat över 400 organisationer
- Intrång i USA:s kärnenergimyndighet visar på konsekvenserna av SharePoint-sårbarheten
- APT41 riktar sig mot afrikanskt IT-företag i ovanlig cyberespionage-kampanj
- Schweizisk vårdgivare AMEOS drabbad av dataintrång
02. Conclusion
Storbritannien planerar förbud mot lösenbetalningar inom offentlig sektor
Den brittiska regeringen planerar att förbjuda offentliga organisationer och kritisk infrastruktur från att betala lösensummor efter cyberattacker, i syfte att störa den affärsmodell som driver ransomware. Den föreslagna lagen skulle gälla skolor, kommuner och NHS. Säkerhetsministern Dan Jarvis sa att Storbritannien är “fast beslutet att krossa cyberbrottslingarnas affärsmodell” och skydda viktiga samhällstjänster.
Företag utanför det föreslagna förbudet måste meddela myndigheterna om de tänker betala, för att få vägledning och undvika att bryta mot sanktioner. Ett obligatoriskt rapporteringssystem utvecklas också för att hjälpa brottsbekämpande myndigheter att spåra angripare. Åtgärden följer på en offentlig konsultation i januari och sker i takt med att ransomware hotet växer – det är nu Storbritanniens största cyberbrottsrisk. Bland högt profilerade offer finns NHS, British Library och nyligen Marks & Spencer, som drabbades av en attack från gruppen DragonForce. Även Co-op och Harrods har rapporterat incidenter.
Zero-day sårbarhet i SharePoint har drabbat över 400 organisationer
Säkerhetsforskare har avslöjat att över 400 organisationer har drabbats av en zero-day-sårbarhet i Microsoft SharePoint – en markant ökning sedan felet först rapporterades förra veckan. Sårbarheten, identifierad som CVE-2025-53770, påverkar lokalt driftade SharePoint-servrar och möjliggör fjärrkörning av kod, vilket ger angripare tillgång till interna filer och bredare nätverk.
Det nederländska företaget Eye Security, som upptäckte sårbarheten, säger att hundratals system redan är komprometterade. Enligt forskare kan sårbarheten ha utnyttjats sedan den 7 juli. Microsoft och Google har kopplat attackerna till statligt sponsrade kinesiska hotaktörer, men Peking nekar till inblandning. Eftersom tusentals servrar fortfarande kan vara utsatta, varnar experter för att patchning i sig inte räcker – fullständiga systemkontroller rekommenderas starkt.
Läs vårt hotmeddelande: Advisory från Integrity360
Intrång i USA:s kärnenergimyndighet visar på konsekvenserna av SharePoint-sårbarheten
USA:s National Nuclear Security Administration (NNSA) har drabbats av ett intrång via en nyligen patchad zero-day-sårbarhet i Microsoft SharePoint. NNSA ansvarar för USA:s kärnvapenarsenal och hanterar radiologiska nödsituationer.
En talesperson för energidepartementet bekräftade intrånget och sa att påverkan var begränsad tack vare myndighetens omfattande användning av Microsoft 365. De drabbade systemen återställs nu, och det finns inga bevis för att känslig eller klassificerad information har läckt.
Den större kampanjen, spårad som ToolShell (CVE-2025-53770), har hittills påverkat minst 148 organisationer och infekterat över 400 servrar, inklusive mål i Europa och Mellanöstern. Microsoft och Google har kopplat attackerna till flera kinesiskt stödda grupper. Den amerikanska myndigheten CISA har beordrat snabb patchning i alla federala system. Situationen fortsätter att utvecklas när fler komprometterade system upptäcks globalt.
APT41 riktar sig mot afrikanskt IT-företag i ovanlig cyberespionage-kampanj
Den Kina-kopplade cybergruppen APT41 har genomfört en riktad attack mot en statlig IT-tjänsteleverantör i Afrika – en ovanlig avvikelse från deras vanliga fokus på USA och Asien. Kaspersky upptäckte intrånget och noterade att angriparna använde specialanpassad skadlig kod med hårdkodade interna uppgifter, inklusive IP-adresser och proxytjänster. De kapade till och med en SharePoint-server inom offrets eget nätverk som kommandocenter.
Attacken följde APT41:s typiska metoder: stöld av inloggningsuppgifter med Mimikatz, smygande datastöld med RawCopy och Pillager, samt bestående åtkomst via Cobalt Strike och Neo-reGeorg webbshells. Användningen av legitima verktyg som Impacket försvårade upptäckten ytterligare.
APT41, även kända som Wicked Panda eller Brass Typhoon, har varit aktiva sedan minst 2012 och kombinerar statligt styrd spionage med ekonomiskt motiverad cyberbrottslighet. Attacken visar hur gruppen utvecklas och understryker den ökande cyberbrottsrisken i Afrika.
Schweizisk vårdgivare AMEOS drabbad av dataintrång
AMEOS Group, ett av Centraleuropas största privata vårdnätverk, har bekräftat ett dataintrång som kan ha exponerat känslig information om patienter, anställda och samarbetspartner. Organisationen, baserad i Zürich, driver över 100 sjukhus, kliniker och vårdhem i Schweiz, Tyskland och Österrike med cirka 18 000 anställda.
I ett meddelande enligt artikel 34 i GDPR meddelade AMEOS att externa aktörer fått obehörig åtkomst till deras IT-system, trots omfattande säkerhetsåtgärder. Gruppen varnar för att stulen data kan missbrukas eller spridas online, även om det ännu inte finns några tecken på offentliggörande.
Som svar har AMEOS stängt ned alla IT-system och nätverk samt anlitat externa IT- och forensiska experter för att hjälpa till i utredningen. Myndigheter har informerats och en polisanmälan har gjorts.
Patienter och intressenter uppmanas att vara vaksamma mot nätfiske och bedrägeriförsök. AMEOS fortsätter att utvärdera effekterna och har förbundit sig att stärka sitt cyberskydd.
Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.
Disclaimer
Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.