Storbritannien presenterar lagen om cybersäkerhet och resiliens

Storbritannien har presenterat lagen om cybersäkerhet och resiliens, en omfattande reform som syftar till att stärka den nationella säkerheten och skydda viktiga tjänster mot växande cyberhot. Lagstiftningen höjer cybersäkerhetsstandarderna inom sektorer som sjukvård, energi, vatten och transport, vilket ska säkerställa att störningar som inställda NHS-besök eller avbrott i leveranskedjan blir betydligt mindre sannolika.

För första gången kommer medelstora och stora leverantörer av hanterade tjänster som erbjuder IT-support, cybersäkerhet eller helpdesk-tjänster till offentliga organ och företag att omfattas av reglering. De måste rapportera betydande incidenter inom snäva tidsramar och upprätthålla robusta responsplaner. Tillsynsmyndigheter får också nya befogenheter att utse kritiska leverantörer och införa strängare sanktioner vid allvarliga brister.

Lagen omfattar även datacenter och inför skyddsåtgärder för smarta energisystem, vilket speglar den växande betydelsen av digital infrastruktur. Med en genomsnittlig kostnad på över £190 000 för en större cyberincident hävdar regeringen att reformerna är avgörande för att förbättra den nationella motståndskraften och minska den ekonomiska risken.

Microsoft släpper patchar för 63 säkerhetsbrister, inklusive en aktivt utnyttjad zero-day i Windows Kernel

Microsoft har publicerat korrigeringar för 63 nyligen identifierade säkerhetsbrister i sina produkter, inklusive en zero-day i Windows Kernel som redan utnyttjas i verkliga attacker. Fyra sårbarheter klassas som Kritiska och 59 som Viktiga, och omfattar problem som sträcker sig från privilegieeskalering till fjärrkörning av kod och informationsläckage.

Den allvarligaste är CVE-2025-62215, en sårbarhet för privilegieeskalering orsakad av en tävlingssituation i Windows Kernel. Angripare med låg åtkomstnivå kan utnyttja felet för att få SYSTEM-privilegier genom att upprepade gånger trigga en “double free”-minneskorruption, vilket i praktiken ger full kontroll över den drabbade enheten. Microsoft upptäckte felet internt, men detaljer om aktiv exploatering är fortfarande begränsade.

Andra patchar åtgärdar allvarliga buffertöverflöden i Microsofts grafikkomponent och Windows Subsystem for Linux GUI, som båda kan möjliggöra fjärrkörning av kod. En separat Kerberos-sårbarhet för privilegieeskalering, med kodnamnet CheckSum, gör det möjligt för angripare att imitera användare och potentiellt kompromettera hela Active Directory-domäner. Organisationer som använder AD med aktiverad Kerberos-delegering uppmanas att prioritera uppdateringar.

DanaBot återuppstår med ny infrastruktur sex månader efter nedtagningen i Operation Endgame

Banktrojanen DanaBot har återuppstått med en ny version bara ett halvår efter att dess infrastruktur slogs ut av internationella brottsbekämpande myndigheter. Forskare har identifierat en ombyggd variant, version 669, som nu använder Tor-baserade kommandokontroll-domäner och backconnect-noder för att undvika upptäckt och återfå operativ kapacitet.

DanaBot började som en Delphi-baserad banktrojan som distribuerades via phishing och malvertising, och utvecklades senare till en modulär informationsstjälande och laddande skadlig kod som riktar in sig på webbläsarlagrade autentiseringsuppgifter och kryptoplånböcker. Trots den stora smällen från Operation Endgame i maj lyckades operatörerna bakom DanaBot aldrig helt avvecklas, vilket möjliggjorde att skadlig kod återvände med uppdaterad infrastruktur och förnyad aktivitet.

Zscaler har också kopplat flera kryptoplånböcker i BTC, ETH, LTC och TRX till nyliga DanaBot-kampanjer, vilket understryker den ekonomiska drivkraften bakom dess uthållighet. Infektionsvägarna fortsätter att inkludera skadliga e-postmeddelanden, SEO-förgiftning och malvertising, där vissa attacker fungerar som ingångar till ransomware.

Organisationer rekommenderas att uppdatera sina säkerhetsverktyg och blockera de nya IoC:erna som publicerats av Zscaler för att minska exponeringen för det återuppväckta hotet.

Latinamerika blir den mest cyberattackerade regionen när globala hot fortsätter att öka

Ny forskning visar att Latinamerika har gått om Afrika som den mest utsatta regionen för cyberattacker. I oktober utsattes organisationer i Latinamerika för i genomsnitt 2 966 attacker per vecka, en ökning med 16 % jämfört med föregående år. Afrika följde med 2 782 attacker per vecka, men noterade en total minskning på 15 %, vilket forskare tillskriver ökade investeringar i cybersäkerhet på kontinenten, särskilt inom extern riskhantering och förbättrat DDoS-skydd.

Globalt såg organisationer i genomsnitt 1 938 attacker per vecka, en ökning med 5 % jämfört med föregående år. Nordamerika upplevde den kraftigaste ökningen, med en uppgång på 18 % som främst drevs av ransomware, som hade 801 offentligt rapporterade incidenter i oktober. Qilin, Akira och Sinobi stod för nästan 40 % av alla fall.

Rapporten lyfter också fram växande risker för dataexponering kopplade till företagsanvändning av GenAI, där en av 44 förfrågningar innehåller känslig information med hög risk. Utbildning förblev den mest attackerade branschen globalt, medan hotell- och restaurangsektorn såg en kraftig ökning på 40 % inför högsäsongen.

Nederländska RTV Noord drabbades av cyberattack

Den nederländska TV- och radiokanalen RTV Noord drabbades av en allvarlig störning på grund av en cyberattack som slog ut dess digitala system och tvingade programledarna att improvisera live i sändning. Händelsen, som upptäcktes den 6 november, gjorde att personalen på morgonprogrammet “De Ochtendploeg” inte kunde använda datorer, vilket tvingade dem att återgå till CD-skivor och till och med vinylskivor för att hålla programmen igång.

Även om kanalen inte har avslöjat attackens natur, bekräftade den att inkräktare lämnade ett meddelande i nätverket, vilket starkt tyder på ransomware. Med tanke på liknande incidenter och störningens omfattning är sannolikheten för ett lösenskrav eller hot om dataläckage hög.

Effekten är särskilt allvarlig eftersom RTV Noord också fungerar som officiell nödkanal för regionen Groningen, vilket innebär att varje avbrott kan hindra leveransen av kritisk offentlig information. De interna systemen var så påverkade att redaktionen endast kunde nås via WhatsApp.

Attacken sker samtidigt som ransomware-grupper allt oftare riktar in sig på mediebolag för maximal utpressning, med Spaniens KISS-FM som också påstås ha drabbats av Rhysida samma dag.