Ny forskning visar ökat hot från ransomware mot byggsektorn

Ny forskning har visat på en växande oro för cybersäkerhet inom bygg- och fastighetssektorn, där 32% av branschledarna nu är oroliga för cyberhot. En undersökning från Beazley visade att sektorn har den lägsta förtroendenivån av alla undersökta branscher, med endast 74% som tror att de är beredda att hantera moderna cyberrisker.

Resultaten återspeglar hur cyberbrottslighet i allt högre grad blir en operativ och affärsmässig risk snarare än bara en IT-fråga. Forskare varnade för att AI-drivna nätfiskekampanjer och automatiserad spaning gör det möjligt för hotaktörer att starta attacker med högre hastighet och i större skala, vilket gör incidenter svårare att upptäcka och begränsa.

Separat forskning från QBE identifierade ransomware som det mest betydande cyberhotet mot byggföretag, med incidenter som orsakar i genomsnitt 24 dagars driftstopp. Rapporten visade också på en 410-procentig ökning av skadlig IoT-aktivitet som riktar sig mot sektorn under 2025.

Branschexperter uppmanar nu organisationer att integrera cybersäkerhet i den bredare riskplaneringen för projekt, och varnar för att attacker kan störa leveranskedjor, försena projekt och öka kostnaderna avsevärt.

NCSC varnar för rysk DNS-kapningskampanj riktad mot routrar

National Cyber Security Centre (NCSC) har utfärdat en ny varning om att ryska cyberaktörer med stöd av staten komprometterar allmänt använda internetroutrar för att i hemlighet omdirigera användarnas trafik genom skadlig infrastruktur.

Enligt meddelandet har gruppen APT28 utnyttjat sårbara routrar för att utföra DNS-kapningsattacker (Domain Name System). Dessa attacker gör det möjligt för hotaktörer att fånga upp internettrafik och stjäla inloggningsuppgifter, inklusive lösenord och autentiseringstoken, från webb- och e-posttjänster.

Kampanjen tros vara opportunistisk, där angriparna riktar in sig på ett stort antal enheter innan de begränsar sitt fokus till organisationer eller individer av underrättelseintresse. APT28 har tidigare kopplats till den ryska GRU-enheten 26165 och är även känd under namn som Fancy Bear och Sofacy.

NCSC varnade för att komprometterade nätverksenheter kan ge fientliga aktörer långsiktig tillgång till och insyn i känslig kommunikation. Organisationer uppmanas att stärka routerns säkerhet, snabbt patcha sårbarheter, säkra hanteringsgränssnitt och aktivera multifaktorautentisering för att minska risken för intrång.

Meddelandet belyser det fortsatta hotet från statsstödda cyberoperationer som riktar sig mot kritisk internetinfrastruktur och vardagliga nätverksenheter.

Palo Alto Networks varnar för aktiva nolldagsattacker riktade mot brandväggar

Palo Alto Networks har varnat sina kunder för att en kritisk opatchad sårbarhet som påverkar PAN-OS User-ID Authentication Portal utnyttjas aktivt i det vilda.

Felet har spårats som CVE-2026-0300 och är en sårbarhet för buffertöverskridanden som kan göra det möjligt för oautentiserade angripare att köra godtycklig kod med root-privilegier på exponerade PA-Series och VM-Series brandväggar. Problemet påverkar User-ID Authentication Portal, även känd som Captive Portal, som används för att autentisera användare vars identiteter inte kan kartläggas automatiskt av brandväggen.

Palo Alto Networks säger att utnyttjandet hittills har varit begränsat och främst påverkar organisationer med portalen exponerad mot det offentliga internet eller otillförlitliga IP-adresser. Säkerhetsforskare på Shadowserver spårar för närvarande mer än 5 800 exponerade PAN-OS VM-Series brandväggar online.

Leverantören har ännu inte släppt någon patch men säger att programvarufixar förväntas från 13 maj 2026. Under tiden uppmanas organisationer starkt att begränsa portalåtkomst till betrodda interna nätverk eller inaktivera funktionen helt där det är möjligt.

Varningen fortsätter en växande trend av hotaktörer som aggressivt riktar in sig på brandväggsinfrastruktur och säkerhetsapparater som vetter mot internet.

Vimeo-intrång exponerar data från mer än 119 000 användare

Utpressningsgruppen ShinyHunters har tagit på sig ansvaret för en cyberattack mot videoplattformen Vimeo som exponerade personuppgifter för mer än 119.000 användare.

Enligt anmälningstjänsten för dataöverträdelser Har jag varit Pwned, innehåller de stulna uppgifterna e-postadresser och i vissa fall användarnamn. Vimeo avslöjade överträdelsen i april och kopplade händelsen till en kompromiss som involverade Anodot, en tredjepartsleverantör av dataanomalidetektering integrerad i sina system.

Vimeo uppgav att angriparna främst fick tillgång till tekniska data, videotitlar och metadata, och bekräftade att inloggningsuppgifter, betalkortsinformation och videoinnehåll inte äventyrades. Efter incidenten inaktiverade företaget Anodot-inloggningsuppgifterna, tog bort integrationen och anlitade externa säkerhetsspecialister för att undersöka saken.

Efter misslyckade utpressningsförsök läckte ShinyHunters enligt uppgift ett 106 GB stort arkiv med stulna data på sin mörka webbplats. Gruppen har alltmer fokuserat på att rikta in sig på SaaS-miljöer och företags single sign-on-system, med hjälp av komprometterade referenser för att få tillgång till anslutna molnplattformar och känslig affärsdata.

Intrånget belyser de växande risker som är förknippade med tredjepartsintegrationer och kompromisser i leverantörskedjan inom moderna molnmiljöer.

Nytt Mirai-baserat botnät riktar in sig på Android- och IoT-enheter för DDoS-attacker

Cybersäkerhetsforskare har upptäckt ett nytt Mirai-deriverat botnät som kallas xlabs_v1 som riktar sig mot internetexponerade Android- och IoT-enheter för att bygga ett DDoS-nätverk (distributed denial-of-service).

Forskare på Hunt.io sa att skadlig programvara specifikt jagar efter enheter med Android Debug Bridge (ADB) exponerad på TCP-port 5555. Detta inkluderar Android TV-lådor, smarta TV-apparater, set-top-boxar och annan IoT-hårdvara som levereras med ADB aktiverad som standard. Den skadliga programvaran stöder också flera hårdvaruarkitekturer, vilket tyder på att den kan rikta in sig på bostadsroutrar och andra anslutna enheter.

Enligt forskarna drivs botnätet som en DDoS-tjänst för uthyrning med fokus på att attackera spelservrar och Minecraft-värdar. Det stöder mer än 20 attackmetoder över TCP- och UDP-protokoll och innehåller funktionalitet som är utformad för att kringgå DDoS-skydd i konsumentklass.

Den skadliga koden innehåller också funktioner för att mäta bandbredden på infekterade enheter, vilket gör det möjligt för operatörer att klassificera komprometterade system i prisnivåer för kunder som köper attacker. Forskarna noterade att botnätets design prioriterar skala och attackvariation framför sofistikering.

Upptäckten belyser de fortsatta riskerna med dåligt säkrade IoT- och konsumentenheter som exponeras direkt mot internet.

ShinyHunters hävdar stöld av 240 miljoner utbildningsregister i Instructure-intrång

Utbildningsteknikföretaget Instructure har bekräftat att det drabbats av en cyberattack, där utpressningsgruppen ShinyHunters hävdar att de har stulit mer än 240 miljoner register kopplade till studenter, lärare och personal över hela världen.

Företaget, som är mest känt för sin lärplattform Canvas som används av skolor och universitet över hela världen, säger att de arbetar med tredjepartscybersäkerhetsexperter och brottsbekämpande myndigheter för att utreda händelsen. Kunder har också varit tvungna att omauktorisera API-åtkomst som en del av svaret.

Enligt ShinyHunters spänner de stulna uppgifterna över nästan 15 000 utbildningsinstitutioner i Nordamerika, Europa och Asien och Stillahavsområdet. Gruppen hävdar att informationen innehåller namn, e-postadresser, kursregistreringsinformation och miljarder privata meddelanden som utbyts mellan studenter och lärare.

Hotaktörerna hävdar också att de fick tillgång till anslutna Salesforce-miljöer under attacken. Även om den fullständiga omfattningen av intrånget ännu inte har verifierats oberoende, skulle omfattningen av den påstådda datastölden göra det till en av de största cyberincidenterna inom utbildningssektorn som rapporterats i år.

Incidenten belyser den växande inriktningen på utbildningsplattformar av cyberbrottslingar som söker stora volymer personlig och känslig information.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.