NCSC varnar brittiska organisationer för att se över sin cybersäkerhet mot bakgrund av konflikten i Mellanöstern

Storbritanniens National Cyber Security Centre (NCSC) har uppmanat organisationer att se över sin cybersäkerhet mot bakgrund av den pågående konflikten i Mellanöstern. Även om NCSC för närvarande bedömer att det inte har skett någon betydande ökning av det direkta cyberhotet från Iran mot Storbritannien, är situationen fortfarande flytande och kan förändras snabbt i takt med att händelserna utvecklas.

Myndigheten varnar för att sannolikheten för indirekta cyberhot kan öka, särskilt för organisationer med verksamhet, kontor eller leveranskedjor kopplade till regionen. Iranska statsanknutna aktörer och anslutna hacktivistgrupper är kända för att ha cyberkapacitet och kan inleda störande aktiviteter mot organisationer som uppfattas vara kopplade till motsatta intressen.

NCSC råder organisationer att se över befintlig vägledning om DDoS-attacker, nätfiskekampanjer och potentiella försök att rikta in sig på industriella kontrollsystem. Företag med exponering mot regionen bör överväga att öka övervakningen, omvärdera sin externa attackyta och anmäla sig till NCSC:s Early Warning-tjänst för att få varningar om nya säkerhetsproblem.

Ökad hacktivistisk cyberaktivitet kopplad till konflikten i Mellanöstern

Cybersäkerhetsforskare varnar för en kraftig ökning av hacktivistisk aktivitet efter USA:s och Israels samordnade militära kampanj mot Iran, känd som Operation Epic Fury och Roaring Lion. Säkerhetsanalytiker rapporterar att cyberoperationer har eskalerat parallellt med den fysiska konflikten, med flera grupper som lanserar störningskampanjer riktade mot statlig infrastruktur, finansinstitut och telekommunikationsleverantörer.

Enligt Radware gjordes minst 149 DDoS-attacker från hacktivister mellan den 28 februari och den 2 mars, riktade mot 110 organisationer i 16 länder. Två grupper, Keymous+ och DieNet, var ansvariga för nästan 70% av aktiviteten. De flesta attackerna var koncentrerade till Mellanöstern, särskilt Kuwait, Israel och Jordanien, även om Europa stod för mer än 22% av den globala aktiviteten. Nästan hälften av alla mål var statliga organisationer.

Säkerhetsforskare rapporterar också om aktivitet från statsallierade hotaktörer och Iran-vänliga cybergrupper, inklusive kampanjer med nätfiske, distribution av skadlig kod och försök till intrång i energi och digital infrastruktur. Analytiker varnar för att cyberoperationer kopplade till geopolitiska spänningar ofta blandar störningar, spionage och psykologisk påverkan, vilket ökar sannolikheten för ytterligare attacker mot regeringar, kritisk infrastruktur och organisationer inom den privata sektorn världen över.

Europol-operation stör stor plattform för nätfiske som en tjänst

En internationell brottsbekämpande operation samordnad av Europol har stört Tycoon2FA, en stor PhaaS-plattform (phishing-as-a-service) som ansvarar för att skicka tiotals miljoner phishing-mejl varje månad. Som en del av den samordnade aktionen beslagtog myndigheterna 330 domäner som användes av den kriminella tjänsten, inklusive nätfiskesidor och kontrollpaneler för backend.

Den tekniska störningen leddes av Microsoft med stöd från flera partners inom den privata sektorn, medan brottsbekämpande myndigheter i Lettland, Litauen, Portugal, Polen, Spanien och Storbritannien genomförde beslag av infrastruktur. Utredningen inleddes efter att Trend Micro delat med sig av hotinformation som samordnades genom Europols nätverk för cyberbrottslighet.

Tycoon2FA har varit aktiv sedan åtminstone augusti 2023 och gjorde det möjligt för cyberbrottslingar att kringgå multifaktorautentisering genom att använda en adversary-in-the-middle phishing-teknik. Plattformen fångade upp inloggningsuppgifter och sessionskakor i realtid, vilket gjorde det möjligt för angripare att kapa autentiserade sessioner för tjänster som Microsoft 365 och Gmail.

Tjänsten såldes via Telegram-abonnemang och sänkte tröskeln för cyberbrottslingar att lansera sofistikerade MFA-bypass-attacker mot organisationer över hela världen.

Angripare missbrukar OAuth-omdirigeringar för att kringgå phishing-skydd

Säkerhetsforskare har avslöjat en nätfisketeknik som missbrukar legitima OAuth-omdirigeringsmekanismer för att kringgå e-post- och webbläsarskydd. Attackerna riktar sig främst mot myndigheter och organisationer inom den offentliga sektorn och använder phishing-e-postmeddelanden som verkar innehålla legitima autentiseringsförfrågningar.

Meddelandena efterliknar ofta vanlig affärskommunikation, t.ex. förfrågningar om e-signaturer, socialförsäkringsmeddelanden, mötesinbjudningar, återställning av lösenord eller finansiella uppdateringar. I vissa fall är de skadliga OAuth-länkarna inbäddade i PDF-filer för att undvika upptäckt av säkerhetsverktyg.

Enligt Microsoft Defenders forskare registrerar angripare skadliga OAuth-applikationer i hyresgäster som de kontrollerar och konfigurerar omdirigeringsadresser som pekar på angriparens infrastruktur. När offren interagerar med autentiseringsbegäran utlöser manipulerade parametrar autentiseringsfel som i tysthet omdirigerar användare till skadliga webbplatser.

Vissa offer skickas till phishing-sidor som drivs av attacker-in-the-middle-ramverk som kan fånga upp sessionskakor och kringgå multifaktorautentisering. Andra omdirigeras för att ladda ner skadliga filer som distribuerar skadlig kod genom PowerShell- och DLL-sidoladdningstekniker, vilket belyser hur identitetsbaserade attackmetoder utvecklas.

Ransomware och OT-cyberincidenter ökar kraftigt inom sjöfartssektorn

En ny rapport från Cydome visar på en kraftig ökning av cyberhot riktade mot OT-system (operational technology) inom den maritima sektorn. Ransomware-attacker mot maritima OT-miljöer ökade med 150% under 2025, medan attacker mot nätverksenheter som routrar, VPN och brandväggar ökade med 800%. Rapporten konstaterade också att 22% av organisationerna upplevde en incident med OT- eller ICS-system (Industrial Control Systems) under året, där många attacker började med obehörig extern åtkomst.

Modern sjöfart blir alltmer uppkopplad via satellitkommunikation och IoT-sensorer, vilket förvandlar fartyg från isolerade system till en del av ett globalt digitalt nätverk. Detta skifte har avsevärt utökat attackytan för cyberbrottslingar. Rapporten varnar också för en dramatisk ökning av GPS-spoofingincidenter, med cirka 1.000 störningar rapporterade dagligen, vilket påverkar cirka 40.000 fartyg och ger upphov till allvarliga säkerhetsproblem.

Forskarna säger att artificiell intelligens snabbt förändrar cyberhotbilden. AI-assisterad nätfiske, identitetsbedrägerier och automatiserad upptäckt av sårbarheter gör att attackerna blir allt snabbare och mer omfattande. Med nästan 50.000 nya sårbarheter som avslöjas 2025 och många som blir vapen inom några dagar uppmanas organisationer att stärka OT-synligheten, förbättra patchhanteringen och säkra infrastrukturen för fjärråtkomst för att skydda kritisk sjöfartsverksamhet.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.