Wiper-attack med skadlig kod drabbar den globala MedTech-jätten Stryker

Medicinteknikföretaget Stryker Corporation har utsatts för en omfattande cyberattack efter att destruktiv skadlig kod, så kallad wiper malware, stört systemen i företagets globala nätverk. Attacken har hävdats av den pro-palestinska hacktivistgruppen Handala Hack Team, som allmänt tros vara kopplad till Irans underrättelse- och säkerhetsministerium.

Enligt gruppen stal angriparna ungefär 50 terabyte data innan de raderade mer än 200 000 system, servrar och mobila enheter. Personal i flera regioner, inklusive USA, Irland, Costa Rica och Australien, rapporterade att företagets bärbara datorer och mobila enheter som var registrerade i företagets ledningssystem återställdes på distans under natten.

Störningen har tvingat kontor i dussintals länder att avbryta den normala verksamheten, och på vissa platser har man återgått till manuella processer efter att ha förlorat tillgången till interna applikationer och tjänster.

Stryker bekräftade händelsen i ett regulatoriskt meddelande och uppgav att attacken orsakade ett globalt avbrott i Microsoft-miljön. Företaget har aktiverat sin cyber incident response plan och arbetar med externa cybersäkerhetsspecialister för att undersöka och återställa drabbade system.

Microsoft Patch Tuesday åtgärdar 79 säkerhetsbrister

Microsoft har släppt sina Patch Tuesday-uppdateringar för mars 2026 och åtgärdar 79 säkerhetsbrister i hela sitt mjukvaruekosystem, inklusive två offentligt avslöjade zero-day-brister. Även om det inte är känt att någon av nolldagarna har utnyttjats i aktiva attacker, uppmanas organisationer att prioritera patchning på grund av den potentiella allvarligheten i flera problem.

Bland de åtgärdade sårbarheterna finns 46 brister i form av förhöjda privilegier, 18 buggar för exekvering av fjärrkod samt flera sårbarheter för informationsspridning och överbelastningsskador. Två av de mest anmärkningsvärda korrigeringarna inkluderar ett problem med SQL Server-privilegieeskalering (CVE-2026-21262) som kan göra det möjligt för angripare att få SQLAdmin-rättigheter, och en .NET-sårbarhet för överbelastning av tjänsten.

Microsoft har också åtgärdat två Microsoft Office-fel för fjärrkörning av kod som kan utlösas via förhandsgranskningsfönstret, vilket gör Office-uppdateringar särskilt viktiga den här cykeln. Dessutom kan en Excel-sårbarhet potentiellt tillåta datautfiltrering via Microsoft Copilot om den utnyttjas.

Utöver Microsofts uppdateringar har flera andra leverantörer utfärdat säkerhetsmeddelanden den här månaden, bland annat Adobe, Cisco, Fortinet, Google, Hewlett Packard Enterprise och SAP. Organisationer uppmanas att granska korrigeringar omedelbart för att minska exponeringen.

"Zombie Zip"-teknik undgår upptäckt av antivirusprogram

Säkerhetsforskare har avslöjat en ny teknik kallad "Zombie ZIP" som gör det möjligt att gömma skadliga nyttolaster i specialgjorda ZIP-arkiv som kan undgå många antivirus- och endpoint-detekteringsverktyg. Metoden som utvecklats av forskare kringgår enligt uppgift 50 av de 51 säkerhetsmotorer som testats på VirusTotal.

Tekniken fungerar genom att manipulera ZIP-filhuvuden så att säkerhetsskannrar tror att arkivet innehåller okomprimerad data. I själva verket är nyttolasten fortfarande komprimerad med hjälp av standardalgoritmen Deflate. Eftersom många antivirusverktyg litar på rubrikinformationen skannar de vad som verkar vara ofarlig rådata, vilket gör att det skadliga innehållet förblir oupptäckt.

Standardutdragsverktyg som WinRAR och 7-Zip misslyckas vanligtvis med att extrahera dessa filer och visar ofta fel eller skadad utdata. En specialdesignad lastare kan dock ignorera den vilseledande rubriken och korrekt dekomprimera den dolda nyttolasten.

Sårbarheten, som spåras som CVE-2026-0866, har föranlett en varning från CERT Coordination Center, som råder säkerhetsleverantörer att stärka arkivinspektionen och validera komprimeringsmetoder mer noggrant. Användare uppmanas också att behandla oväntade ZIP-filer med försiktighet.

Hackare riktar in sig på felkonfigurerade salesforce experience cloud-sajter

Salesforce har varnat kunder för att angripare riktar in sig på felkonfigurerade Experience Cloud-webbplatser som gör det möjligt för gästanvändare att komma åt mer data än avsett. Aktiviteten är inriktad på API-slutpunkten /s/sfsites/aura, där dåligt konfigurerade gästanvändarrättigheter kan göra det möjligt för oautentiserade besökare att fråga känsliga Salesforce CRM-data.

Enligt rådgivningen missbrukar angripare en modifierad version av AuraInspector, ett granskningsverktyg med öppen källkod som ursprungligen utvecklades av Mandiant för att identifiera konfigurationsproblem inom Salesforce Aura-ramverket. Hotaktörer har anpassat verktyget för att utföra storskaliga skanningar av offentligt exponerade Experience Cloud-webbplatser som letar efter överdrivna gästbehörigheter.

Cyberbrottsgruppen ShinyHunters tar på sig ansvaret för kampanjen och hävdar att den har äventyrat hundratals organisationer genom att utnyttja dessa felkonfigurationer.

Salesforce vidhåller att problemet inte är en plattformssårbarhet utan resultatet av felaktiga kundkonfigurationer. Företaget uppmanar organisationer att granska gästanvändares behörigheter, inaktivera onödig API-åtkomst och tillämpa principen om minsta privilegium för att minska risken för dataexponering.

BlackSanta-kampanj med skadlig kod riktar sig mot hr-team

Säkerhetsforskare har avslöjat en långvarig cyberkampanj som riktar sig mot personalavdelningar med en sofistikerad malware-stam som kallas BlackSanta. Enligt en rapport från Aryaka har den rysktalande hotaktören bakom operationen varit aktiv i över ett år och kombinerat social engineering med avancerade undvikande tekniker för att infiltrera företagssystem.

Attackkedjan tros börja med spear-phishing-e-postmeddelanden som leder offren att ladda ner ISO-filer förklädda som jobbansökningar som är värd för molnplattformar som Dropbox. När de skadliga filerna har öppnats triggar de PowerShell-skript som extraherar dold kod med hjälp av steganografi och kör den direkt i systemminnet.

En nyckelkomponent i kampanjen är BlackSanta EDR killer, utformad för att inaktivera endpoint-säkerhetsverktyg innan ytterligare nyttolaster distribueras. Den skadliga programvaran ändrar Microsoft Defender-inställningar, undertrycker systemvarningar och avslutar säkerhetsprocesser på kärnnivå med hjälp av sårbara drivrutiner.

Forskare säger att operationen demonstrerar stark operativ säkerhet, med hjälp av smygande infektionskedjor och miljökontroller för att undvika upptäckt samtidigt som den upprätthåller långvarig uthållighet i riktade nätverk.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.