Utpressningstrojaner stör den digitala verksamheten i spanska Vigos hamn

En ransomware-attack har stört de digitala systemen i spanska Vigos hamn och tvingat delar av nätverket att gå offline och vissa verksamheter att återgå till manuella processer. Incidenten upptäcktes tidigt på tisdagen och påverkade servrar som ansvarar för godshantering och hamntjänster, med rapporter som bekräftar ett krav på lösensumma och krypterade system.

Som svar isolerade hamnmyndigheten påverkad infrastruktur för att begränsa hotet, medan fysiska operationer som fartygsrörelser och godshantering fortsätter. Logistiksamordningen har dock påverkats avsevärt, och operatörerna förlitar sig på pappersbaserade arbetsflöden.

Hamnchefen Carlos Botana bekräftade att systemen inte kommer att återställas förrän säkerhetsteamen är övertygade om att hotet har utrotats helt. Utredningar pågår för att fastställa den ursprungliga åtkomstpunkten och bedöma eventuella dataintrång.

Attacken belyser ransomware-gruppernas växande fokus på sjöfartsinfrastruktur, eftersom störningar i hamnar kan ha omedelbara och omfattande effekter på globala leveranskedjor.

Skadligt LiteLLM-paket orsakar stort intrång i leveranskedjan

En betydande attack mot leverantörskedjan har äventyrat det allmänt använda LiteLLM Python-paketet, med skadliga versioner som utsätter organisationer för storskalig stöld av referenser och potentiell systemkompromiss. Attacken, som tillskrivs TeamPCP-gruppen, såg manipulerade versioner av LiteLLM distribueras via PyPI, vilket påverkade ett bibliotek som används miljontals gånger dagligen.

De skadliga paketen introducerade dolda nyttolaster som är utformade för att köras vid import och skörda känsliga data inklusive SSH-nycklar, molnuppgifter, Kubernetes-hemligheter och miljövariabler. Mer avancerade varianter säkerställde uthållighet genom att bädda in bakdörrar som aktiveras när Python körs, vilket möjliggör kontinuerlig åtkomst och lateral rörelse över miljöer.

De första rapporterna tyder på att upp till 500 000 enheter kan ha påverkats, men siffrorna är fortfarande obekräftade. Kampanjen följer tidigare TeamPCP-aktiviteter riktade mot verktyg som Trivy, vilket belyser ett mönster av att utnyttja betrodd programvara i utvecklingspipelinen.

Incidenten förstärker den växande risken för attacker mot leveranskedjor för programvara, där ett enda komprometterat beroende kan sprida sig över tusentals organisationer och exponera kritiska system, data och infrastruktur i stor skala.

Läs mer i vår Threat Advisory

Cyberattack drabbar nederländska finansministeriets system

Det nederländska finansministeriet har bekräftat att interna system har utsatts för en cyberattack, där obehörig åtkomst upptäcktes efter en tredjepartslarm den 19 mars. En utredning pågår, och tjänstemän bekräftar att vissa anställda har påverkats och att åtkomsten till berörda system har begränsats som en försiktighetsåtgärd.

Intrånget tros omfatta system som används inom politiska avdelningar, även om kritiska nationella tjänster inte påverkas. Myndigheterna bekräftade att skatteuppbörd, tullverksamhet och förmånssystem fortsätter att fungera normalt, vilket säkerställer att inga störningar drabbar medborgare eller företag.

I det här skedet är omfattningen av incidenten fortfarande oklar, och det finns ingen bekräftelse på om känsliga uppgifter har åtkommits eller exfiltrerats. Ingen hotaktör har tagit på sig ansvaret.

Incidenten följer på en rad cyberhändelser riktade mot nederländska institutioner, vilket visar på fortsatt press på statliga system. I takt med att utredningarna fortsätter kommer fokus att ligga på att identifiera attackvektorn, bedöma effekterna och stärka kontrollerna för att förhindra ytterligare intrång.

AstraZeneca-data påstås ha stulits och lagts ut till försäljning på dark web

En hackargrupp har påstått sig ha gjort intrång i AstraZenecas IT-system, exfiltrerat cirka 3 GB känslig data och försökt sälja den på den mörka webben. Gruppen, som identifierats som LAPSUS$, har enligt uppgift släppt exempelfiler för att validera intrånget, även om företaget ännu inte har bekräftat händelsen.

De påstådda uppgifterna inkluderar källkod, molninfrastrukturdetaljer, anställdas länkade poster och åtkomstuppgifter. Även om ingen kunddata tros vara inblandad, kan exponeringen av interna system och identitetsrelaterad information innebära betydande säkerhetsrisker. Även utan aktiva inloggningsuppgifter kan sådana uppgifter möjliggöra riktad nätfiske, privilegieeskalering och ytterligare intrångsförsök.

Säkerhetsforskare varnar för att om intrånget verifieras kan det få allvarliga konsekvenser för hälso- och sjukvårdssektorn, där immateriella rättigheter och operativa data är mycket värdefulla mål. Det är anmärkningsvärt att angriparna verkar tjäna pengar på uppgifterna direkt snarare än att använda traditionella utpressningstaktiker.

Incidenten återspeglar ett bredare skifte i cyberkriminellas strategi, där stöld och vidareförsäljning av data blir ett alltmer framträdande hot mot företagsorganisationer.

Foster City USA utlyser nödläge efter cyberattack som stör tjänster

Foster City har utlyst undantagstillstånd efter en cyberattack som tvingade tjänstemännen att ta hela nätverket offline, vilket allvarligt störde den kommunala verksamheten. Medan räddningstjänsten fortfarande är i drift har kärnfunktioner i stadshuset, inklusive kommunikations- och tillståndssystem, stoppats.

Myndigheterna har inte avslöjat den fulla omfattningen av intrånget, inklusive vilka uppgifter som kan ha kommit åt eller äventyrats. Invånare och företag har dock uppmanats att byta lösenord som en försiktighetsåtgärd. Bristen på detaljer har skapat osäkerhet kring omfattningen och effekterna av incidenten.

Stadens personal kan för närvarande inte skicka eller ta emot e-postmeddelanden eller ringa samtal, vilket belyser den operativa störning som attacken orsakat. Tjänstemännen arbetar med externa cybersäkerhetsexperter för att undersöka incidenten och återställa systemen, men ingen tidslinje har lämnats.

Nödlägesförklaringen ger tillgång till ytterligare finansiering och resurser, vilket understryker hur allvarlig störningen är och den växande inverkan som cyberincidenter kan ha på den offentliga sektorns verksamhet.

Crunchyroll-intrång kopplat till tredjeparts supportsystem påverkar 6,8 miljoner användare

Anime-streamingplattformen Crunchyroll undersöker ett rapporterat intrång efter att hotaktörer påstått sig ha fått tillgång till data kopplad till upp till 6,8 miljoner användare. Företaget uppgav att incidenten verkar vara begränsad till kundtjänstbiljettdata efter en kompromiss som involverade en tredjepartsleverantör.

Enligt rapporter fick angripare tillgång via en supportagents konto, som påstås ha äventyrats genom skadlig kod, vilket möjliggjorde åtkomst till flera interna system inklusive Zendesk och företagets samarbetsverktyg. Hotaktörerna hävdar att de har exfiltrerat miljontals supportposter som innehåller användarinformation som e-postadresser, IP-data och supportfrågor.

Crunchyroll hävdar att det inte finns några bevis för pågående åtkomst och att undersökningar med externa cybersäkerhetsexperter pågår. Även om exponeringen av betalningsdata verkar vara begränsad, belyser incidenten riskerna med känslig information som lagras i supportsystem.

Intrånget understryker det växande hotet från attacker mot tredjepartsleverantörer, där kompromettering av ett enda konto kan ge tillgång till stora volymer kund- och organisationsdata över sammankopplade plattformar.

Kritisk PLM-sårbarhet ger upphov till akuta varningar i hela Europa

PTC har upptäckt en kritisk sårbarhet i sina Windchill- och FlexPLM-plattformar, vilket väcker farhågor om potentiell exekvering av kod på distans i allmänt använda system för hantering av produktlivscykler. Bristen, som har beteckningen CVE-2026-4681, beror på osäker deserialisering av betrodda data och påverkar flera versioner som stöds.

Även om ingen aktiv exploatering har bekräftats, har myndigheterna i Tyskland tagit det ovanliga steget att utfärda direkta, personliga varningar till organisationer, vilket belyser det upplevda omedelbara hotet. Rapporter visar att brottsbekämpande myndigheter har kontaktat företag över hela landet och uppmanat till snabba åtgärder.

Eftersom det ännu inte finns någon officiell patch tillgänglig har PTC rekommenderat organisationer att införa tillfälliga kontroller, inklusive att begränsa åtkomsten till sårbara komponenter eller koppla bort berörda system från internet vid behov. Indikatorer på kompromettering har också släppts för att stödja upptäckt av hot.

Med tanke på den kritiska roll som PLM-system spelar i tillverknings-, teknik- och leveranskedjor utgör sårbarheten en betydande risk. Åtgärden understryker den växande oron för att företags programvara utnyttjas för industrispionage och storskaliga störningar.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.