av Mikael Winterkvist | jul 14, 2025 | Bluesky, Säkerhet, Threads
Antalet malware-attacker ökade kraftigt under årets första kvartal. Det visar en ny rapport från WatchGuard, där företagets säkerhetslabb noterar den största ökningen av skadlig kod hittills. Jämfört med kvartalet innan steg det totala antalet unika malware-detektioner med 171 procent, och mycket av ökningen kopplas till AI-genererad kod och attacker som gömmer sig i krypterad trafik.
Malware på endpoints, alltså på användares datorer och enheter, ökade med över 700 procent. Den vanligaste attackmetoden var så kallade LSASS-dumpar, där angripare stjäl användaruppgifter genom att utnyttja en kritisk Windows-process. Samtidigt minskade antalet ransomware-attacker med 85 procent, men hotet finns kvar. Bland annat är ransomware-varianten Termite fortfarande aktiv. Trenden tyder på att fler angripare övergår från att kryptera filer till att i stället fokusera på att stjäla data.
Skadlig kod som utnyttjar krypterad TLS-trafik blev vanligare, och vissa trojaner kombinerar numera helt legitima filer med krypterad kommunikation. Det gör dem svårare att upptäcka och kräver både beteendeanalys och aktivt skydd på varje enhet. En av de mest spridda hoten var en trojan kallad Agent.FZPI, som spreds via just TLS-krypterade förbindelser.
En annan trend är att angripare allt oftare använder så kallade LoTL-tekniker – attacker som bygger på legitima verktyg i operativsystemet. Samtidigt minskar användningen av traditionella scriptbaserade attacker, vilket tyder på att hotaktörerna väljer diskretare metoder för att undvika upptäckt.
Geografiskt fanns stora variationer. Den falska applikationen Cashback.B spreds exempelvis i särskilt hög grad i Chile och Irland, där den utgjorde en majoritet av alla upptäckta hot. Totalt sett minskade antalet olika typer av nätverksattacker med 16 procent, men de som faktiskt användes var mer målinriktade och ofta inriktade på äldre system med kända sårbarheter.
E-post fortsätter att vara den främsta spridningsvägen för malware. Med hjälp av AI blir bedrägerimejlen dessutom allt mer trovärdiga, vilket bidrar till att både nätverk och endpoints blir infekterade i högre takt.
Källa:
Help Net Security
av Mikael Winterkvist | jul 11, 2025 | Bluesky, Säkerhet, Threads
Storbritanniens nationella brottsbekämpande myndighet NCA har gripit fyra personer misstänkta för att ha deltagit i en rad omfattande cyberattacker mot brittiska detaljhandelsföretag. Bland offren finns Marks & Spencer, Co-op och Harrods.
De gripna är tre män i åldrarna 17 till 19 år samt en 20-årig kvinna. En av männen är medborgare i Lettland, övriga är brittiska medborgare. Gripandena skedde i London och West Midlands. I samband med insatserna beslagtogs även elektronisk utrustning.
Utpressning
Personerna misstänks för brott mot Storbritanniens dataintrångslagstiftning, utpressning, penningtvätt och medverkan i organiserad brottslighet.
Enligt utredarna är de kopplade till Scattered Spider – en välkänd cyberkriminell gruppering som använder social ingenjörskonst, SIM-kapning och nätfiske för att ta sig in i företags IT-system. Gruppen har också kopplingar till ransomware-operatören DragonForce.
Bland annat drabbades Marks & Spencers onlinesystem tidigare i år, vilket ledde till att företagets digitala verksamhet låg nere i nästan sju veckor. Co-op och Harrods utsattes kort därefter för liknande angrepp.
Framsteg
Paul Foster, chef för NCAs cyberenhet, kallar gripandena för ett viktigt framsteg men betonar att utredningen fortfarande pågår i samarbete med både nationella och internationella aktörer.
Marks & Spencers ordförande Archie Norman har uppgett att företaget tagit hjälp av FBI under utredningen och efterlyser lagstiftning som tvingar företag att rapportera allvarliga IT-incidenter. Företagen som drabbats har samarbetat med myndigheterna. Co-op har i ett uttalande betonat att “hacking inte är ett brott utan offer”.
Källor:
av Mikael Winterkvist | jul 9, 2025 | Bluesky, Säkerhet, Threads
En 33-årig kinesisk man greps nyligen i Milano efter att ha anlänt med flyg från Kina. Gripandet skedde på begäran av amerikanska myndigheter och bygger på en internationell arresteringsorder.
Mannen misstänks vara medlem i den statligt sponsrade hackergruppen Silk Typhoon, tidigare känd som Hafnium. Gruppen har tidigare pekats ut som ansvarig för en rad intrång mot amerikanska företag, myndigheter och forskningsinstitutioner.
Enligt utredningen var mannen inblandad i attacker mot organisationer som arbetade med covid-19 under pandemin. Hackarna tros ha försökt stjäla information om vacciner, behandlingar och testmetoder. Angreppen ska ha riktats mot forskare, sjukhus och universitet med koppling till USA.
Mannen sitter nu häktad i Italien i väntan på beslut om utlämning till USA där han väntas åtalas för cyberspionage.
Källor:
av Mikael Winterkvist | jul 7, 2025 | Bluesky, Säkerhet, Threads
Gruppen Scattered Spider anses vara ett av de största cybersäkerhetshoten i USA just nu
Den amerikanska underrättelsetjänsten FBI och cybersäkerhetsmyndigheten CISA har gått ut med en tydlig varning: en grupp hackare som kallar sig Scattered Spider är för närvarande ett av de mest akuta hoten mot amerikanska företag. Gruppen, som även går under namnet Octo Tempest, har pekats ut som ansvarig för flera mycket allvarliga attacker mot stora verksamheter – däribland MGM Resorts och Caesars Entertainment.
Unga
Scattered Spider är en lös sammanslutning av personer, många av dem unga och engelskspråkiga, med starka band till tidigare nätverk inom så kallad SIM-swapping – en metod där angripare kapar mobilnummer för att ta över identiteter. De har enligt FBI visat en ovanlig kombination av teknisk skicklighet och social manipulation. Genom att utge sig för att vara anställda hos de företag de angriper lyckas de lura både interna system och supportpersonal.
Enligt en rapport från Microsoft har gruppen gått längre än många andra: de har tagit kontroll över hela företags nätverk, stulit stora mängder data, hotat personal och till och med aktiverat kryptering via ransomware från andra grupper. Allt detta inom ramen för vad myndigheterna beskriver som “mycket välorganiserad utpressning”.
Uthållighet
Säkerhetsexperter påpekar att gruppens styrka ligger i deras uthållighet och anpassningsförmåga. De är ofta kvar i systemen under lång tid, och deras tillvägagångssätt förändras ständigt för att undvika upptäckt. FBI varnar nu specifikt amerikanska företag inom telekom, finans, sjukvård och underhållning.
Ett av de mest uppmärksammade fallen skedde hösten 2023, då Scattered Spider lyckades lamslå delar av casinokedjan MGM:s verksamhet. Händelsen ledde till att hotellgäster blev utelåsta från sina rum, kassasystem slogs ut och känslig information läckte. Flera av gruppens medlemmar tros finnas i USA, men hittills har inga åtal väckts.
Rutiner
Myndigheterna rekommenderar nu företag att förstärka sina rutiner för tvåfaktorsautentisering, begränsa åtkomst till känsliga system och införa striktare kontroll av fjärrinloggningar. Samtidigt varnas det för att gruppen kan komma att byta namn eller form – men att hotet kvarstår.
Wired
av Mikael Winterkvist | jul 5, 2025 | Bluesky, Säkerhet, Threads
Först
Världens första kända datavirus brukar anses vara “Creeper”, som skapades redan 1971.
Creeper utvecklades som ett experiment av Bob Thomas på företaget BBN Technologies (Bolt, Beranek and Newman) i USA. Det kördes på stordatorn DEC PDP-10 med operativsystemet TENEX och spreds via ARPANET, föregångaren till internet.
När Creeper infekterade ett system visade det ett enkelt meddelande:
“I’m the creeper: catch me if you can!”
Det gjorde ingen skada och var snarare ett test av självkopierande program. För att stoppa Creeper utvecklades ett slags “antivirus” kallat Reaper, som letade upp och raderade Creeper-programmen – vilket i sig gör Reaper till det första antivirusprogrammet.
Första gången begreppet virus användes i datasammanhang var 1983, när studenten Fred Cohen beskrev självkopierande kod i sin forskning vid University of Southern California. Han visade att små program kunde infektera system och sprida sig till andra maskiner – utan användarens vetskap.
Källa: Wired
Stor skala
Det första dataviruset som spreds i stor skala var Brain, som dök upp i januari 1986.
Det skapades av två pakistanska bröder, Basit och Amjad Farooq Alvi, som drev ett företag i Lahore som sålde medicinsk programvara. De ville egentligen inte skada datorer – deras syfte var att skydda sin programvara från piratkopiering. Men deras metod – att infektera startsektorn på disketter – innebar att viruset spreds automatiskt när användare delade disketter, vilket var mycket vanligt på den tiden.
Brain-virusets kännetecken:
- Infekterade boot-sektorn på MS-DOS-disketter
- Lade in information om bröderna, inklusive deras namn, adress och telefonnummer
- Orsakade inte direkt skada, men kunde sakta ner systemet och skapa oro
- Var det första viruset som fick global spridning genom diskettkopiering
Fun fact: Bröderna blev senare intervjuade av The New York Times, och hävdade att de aldrig menade att viruset skulle spridas utanför Pakistan – de blev chockade över dess globala genomslag.
Macintosh
Det första kända dataviruset för Macintosh hette Elk Cloner, och det dök faktiskt upp redan 1982 – flera år innan Brain. Men Elk Cloner infekterade Apple II, inte Mac, eftersom den första Macintosh-datorn inte lanserades förrän 1984.
Det första riktiga viruset som infekterade Macintosh-systemet (klassiska Mac OS) kom 1987, och hette:
MacMag / Peace virus
Fakta om MacMag-viruset:
- Skapades av en programmerare som kallade sig “Drew Davidson”, åt tidskriften MacMag
- Viruset visades som ett fredsbudskap: den 2 mars 1988 dök ett meddelande upp på skärmen:
- “Peace on Earth”
- Det infekterade systemfiler och spreds via disketter
- Det var inte destruktivt – mer ett tidigt exempel på etisk hackning eller ett prank
- Apple reagerade ändå allvarligt och såg det som en säkerhetsrisk
Senare virus för Mac OS inkluderar:
- HyperCard-virus som WDEF (1989), vilket spreds via dokument och var svårare att stoppa
- AutoStart 9805 (1998), ett makrovirus som utnyttjade QuickTime-funktioner
- Leap-A (2006), det första större viruset för Mac OS X – spreds via iChat
Mac
Trots myten om att “Mac inte får virus”, så har Mac-datorer alltid varit sårbara, även om färre virus skapats jämfört med Windows. Det har främst berott på att Mac-användare länge varit färre och därmed mindre attraktiva mål. Nuvarande version av MacOS är ett äkta unix-system och här finns det inga självreplikerande program, klassiska datavirus, vilket inte är detsamma som att det inte finns skadliga program även för Mac.
Källor
av Mikael Winterkvist | jul 3, 2025 | Bluesky, Säkerhet, Threads
Flygbolaget Qantas bekräftar att ett allvarligt dataintrång har ägt rum, där uppgifter om upp till sex miljoner kunder har stulits. Intrånget skedde via ett tredjepartssystem kopplat till ett av flygbolagets kontaktcenter.
De uppgifter som stulits inkluderar namn, e-postadresser, telefonnummer, födelsedatum och frequent flyer-nummer. Inga kreditkortsuppgifter, lösenord, passnummer eller känslig finansiell information ska ha påverkats.
Enligt uppgifter i The Guardian och AP News liknar attacken tidigare intrång som utförts av den cyberkriminella gruppen Scattered Spider, som ofta använder social engineering-metoder för att lura anställda att ge åtkomst till interna system.
Qantas har isolerat de drabbade systemen, informerat Australiens cybersäkerhetsmyndigheter och kontaktat både federal polis och tillsynsmyndigheter. Flygbolagets vd Vanessa Hudson har bett om ursäkt och lovat förstärkta skyddsåtgärder.
Kunder uppmanas att byta lösenord, aktivera tvåfaktorsautentisering och vara uppmärksamma på misstänkta mejl och aktivitet på sina konton.
Källor:
