Content
01. News Bites
- Storskaligt investeringsbedrägeri använder falska nyhetssajter för att lura användare i över 50 länder
- Ny ransomwaregrupp 'BERT' slår mot virtuella maskiner för maximal störning
- Microsoft Patch Tuesday juli 2025: 137 säkerhetsbrister åtgärdade
- Brittiska anställda är rädda för att rapportera cyberattacker, visar ny rapport
- Misstänkt indisk APT riktar in sig på europeiskt ministerium med specialanpassad skadlig kod
02. Conclusion
Storskaligt investeringsbedrägeri använder falska nyhetssajter för att lura användare i över 50 länder
Ett stort globalt investeringsbedrägeri lurar användare över hela världen genom falska nyhetssidor som imiterar välkända medier som CNN, BBC och CNBC. Dessa sidor, kända som Baiting News Sites (BNS), är utformade för att se legitima ut och innehåller manipulerade artiklar som påstår att kändisar, centralbanker eller finansbolag stödjer så kallade "passiva inkomst"-program.
Bedragarna driver trafik till dessa bedrägliga sidor genom sponsrade annonser på plattformar som Google och Meta, ofta med sensationella rubriker och nationella symboler för att öka trovärdigheten. När användare klickar på annonserna omdirigeras de till falska artiklar, som i sin tur leder till bedrägeriplattformar som Trap10, Solara Vynex eller Eclipse Earn.
När offret har registrerat sig börjar en organiserad process: personer som utger sig för att vara professionella rådgivare kontaktar offret, begär ID-verifiering och uppmanar till insättningar i kryptovaluta. Sajterna simulerar vinster för att ge illusionen av framgång och pressar offren att återinvestera. Förutom ekonomiska förluster samlas också personuppgifter in för nätfiske och identitetsstöld.
Detta sofistikerade och flerfasade bedrägeri visar på den ökande globala risken med BNS-kampanjer.
Ny ransomwaregrupp 'BERT' slår mot virtuella maskiner för maximal störning
En nyligen identifierad ransomwaregrupp, kallad BERT, väcker uppmärksamhet inom cybersäkerhetsvärlden på grund av sin avancerade förmåga att tvinga nedstängning av VMware ESXi-maskiner innan data krypteras. Gruppen upptäcktes första gången i april 2025 och har snabbt spridit sig över Asien, Europa och USA.
BERT—även känd som Water Pombero—använder en Linux-variant som kan upptäcka och stänga av virtuella maskiner på ESXi-servrar, vilket allvarligt försvårar återställningsarbetet. Denna metod hindrar organisationer från att snabbt migrera eller säkerhetskopiera system under ett pågående angrepp.
Skadlig koden stödjer upp till 50 samtidiga trådar, vilket maximerar hastighet och påverkan i stora virtualiserade miljöer. BERT riktar sig även mot Windows- och Linuxsystem med PowerShell-baserade laddare som först inaktiverar säkerhetsförsvaret innan huvudattacken körs – vanligtvis från rysk infrastruktur.
Gruppens metoder liknar delar av det ökända REvil-ransomware och har använts mot sjukvårds-, teknik- och evenemangssektorer. Säkerhetsexperter uppmanar företag att segmentera sina nätverk, isolera hypervisors och införa oföränderliga säkerhetskopior.
Microsoft Patch Tuesday juli 2025: 137 säkerhetsbrister åtgärdade
Microsofts uppdatering för Patch Tuesday i juli 2025 åtgärdar hela 137 sårbarheter, inklusive en offentliggjord zero-day i SQL Server och 14 kritiska brister – de flesta relaterade till fjärrkörning av kod (RCE).
Zero-day-sårbarheten, CVE-2025-49719, kan möjliggöra oautentiserad åtkomst till SQL Server-minne. Administratörer rekommenderas att installera den senaste versionen av SQL Server samt uppdaterade OLE DB-drivrutiner.
Flera kritiska RCE-sårbarheter har även fixats i Microsoft Office, SharePoint och Hyper-V, inklusive sådana som aktiveras när en fil förhandsgranskas. CVE-2025-49704 i SharePoint är särskilt noterad, då den kan utnyttjas på distans med giltiga inloggningsuppgifter.
AMD har också avslöjat två nya sidokanalsattacker. Fortinet, Cisco, Google, SAP och Ivanti har släppt ytterligare säkerhetsuppdateringar.
Med 53 rättade privilegieeskaleringar, 41 RCE och 18 informationsläckor bör IT-team omedelbart prioritera uppdatering av system. Microsoft uppmanar starkt till att system granskas och patchas direkt för att minska risken för intrång.
Brittiska anställda är rädda för att rapportera cyberattacker, visar ny rapport
En ny undersökning visar att 39 % av brittiska kontorsanställda inte skulle rapportera en misstänkt cyberattack till sitt IT- eller säkerhetsteam – även om de trodde att de blivit utsatta. Trots att 79 % säger sig vara trygga i att identifiera cyberhot, är det många som låter bli att säga något av rädsla för att få skulden eller hamna i problem.
Skam och en vilja att inte "skapa besvär" är bland de främsta skälen till att incidenter inte rapporteras. Vissa anställda (11 %) erkände att de hellre skulle försöka lösa problemet själva än att kontakta IT-avdelningen.
Även om brittiska anställda har bättre förståelse för ransomware jämfört med kollegor i Frankrike och Tyskland, är tystnaden fortfarande en betydande risk. Enligt IBM kostar dataintrång som varar längre än 200 dagar i genomsnitt 34 % mer, vilket betonar vikten av tidig åtgärd.
Statistik från brittiska regeringen stöder bilden: under 2024 drabbades hälften av företagen och en tredjedel av välgörenhetsorganisationerna i Storbritannien av cybersäkerhetsincidenter.
Misstänkt indisk APT riktar in sig på europeiskt ministerium med specialanpassad skadlig kod
Cybersäkerhetsforskare vid Trellix har kopplat en riktad spionagekampanj mot ett europeiskt utrikesministerium till DoNot Team – en APT-grupp som tros ha kopplingar till Indien. Gruppen, även känd som APT-C-35 eller Viceroy Tiger, har varit aktiv sedan 2016 och riktar sig vanligtvis mot regeringar i Sydasien, ideella organisationer och försvarsaktörer.
Det senaste angreppet använde spjutfiske (spear-phishing) via e-post där angriparna utgav sig för att vara försvarstjänstemän, vilket fick mottagare att ladda ned ett skadligt RAR-arkiv. Arkivet innehöll LoptikMod – en skräddarsydd trojan för fjärråtkomst som etablerar fotfäste, stjäl data och undviker upptäckt med hjälp av anti-VM-tekniker och kodförvirring.
Trots att kommandoservern nu är nedstängd visar kampanjen en tydlig utveckling i DoNot Teams kapacitet, där detta är första kända gången LoptikMod använts mot ett europeiskt statligt mål.
Trellix forskare pekar på en förflyttning från opportunistiska attacker till mer målmedvetet underrättelsearbete, vilket kan tyda på bredare strategisk inriktning. Tidigare har gruppen riktat in sig på mål i bland annat Storbritannien och Norge, men detta markerar en tydlig upptrappning.
Om du är orolig över något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kontoansvariga eller ta kontakt för att ta reda på hur du kan skydda din organisation.
Disclaimer
Threat Intel Roundup utarbetades av Integrity360 och sammanfattar hotnyheter så som vi observerar dem, aktuella vid publiceringsdatumet. Den bör inte betraktas som juridisk rådgivning, konsultrådgivning eller annan professionell rådgivning. Alla rekommendationer bör beaktas i samband med din egen organisation. Integrity360 tar ingen politisk ställning i den information vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.