Publicerad: 2026-02-27 14:15

CERT-SE:s veckobrev v.9

Veckans läsning innehåller bland annat artiklar om fortsatta utmaningar med olika typer av cyberangrepp men även om framgångsrika motåtgärder, till exempel mot en omfattande cyberspionagekampanj på internationell nivå.

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Transportstyrelsen har haft stora problem med IT-system som påverkat bland annat ägarbyten gällande fordon, besiktningar och teoriprov för körkort. Orsaken till störningarna är okänd i nuläget men enligt Transportstyrelsen är det inte ett angrepp som ligger bakom problemen.
(SVT, 27/2)
https://www.svt.se/nyheter/lokalt/skane/transportstyrelsens-datasystem-ligger-nere

Det franska bygg- och trädgårdsföretaget ManoMano har drabbats av ett omfattande angrepp där information gällande 38 miljoner kunder har stulits. Angreppet skedde genom en tjänst som tillhandahålls av en leverantör till ManoMano.
(Bleeping Computer, 26/2)
https://www.bleepingcomputer.com/news/security/european-dyi-chain-manomano-data-breach-impacts-38-million-customers/

Engelska staten har infört ett nytt verktyg för övervakning av sårbara system inom offentlig sektor. Totalt är 6 000 organisationer anslutna och i nuläget notifieras och hanteras ca 400 sårbarheter per månad. En liknande tjänst finns sedan tidigare för svenska intressenter i CERT-SE:s tjänst ANTS – Automatiserade Notifieringar om Tekniska Sårbarheter.
(The Record, 26/2)
https://therecord.media/united-kingdom-vulnerability-scanning-cyber https://www.cert.se/tjanster/ants/

Trend Micro har publicerat information om två kritiska sårbarheter i produkten Apex One, som gör det möjligt för angripare att fjärrexekvera skadlig kod. Det finns ännu inga tecken på aktivt utnyttjande av sårbarheterna men liknande sårbarheter i samma produkt har utnyttjats av hotaktörer tidigare.
(Bleeping Computer, 26/2)
https://www.bleepingcomputer.com/news/security/trend-micro-warns-of-critical-apex-one-rce-vulnerabilities/

En finansiellt motiverad hotaktör har med stöd av AI lyckats genomföra intrång i över 600 Fortinet FortiGate-installationer, under några veckors tid i januari och februari. Angreppen visar på hur AI kan ge även mindre sofistikerade hotaktörer nya förmågor att genomföra angrepp i stor skala. System i fler än 50 länder har blivit utsatta för intrång, däribland i norra Europa.
(DarkReading, 23/2)
https://www.darkreading.com/threat-intelligence/600-fortigate-devices-hacked-ai-amateur

Säkerhetskollen varnar att det just nu förekommer en våg av bedrägerimejl, som ser ut att komma från Försäkringskassan. Det förekommer olika varianter av bedrägerier, bland annat att mottagaren har en skuld eller ska få pengar tillbaka och därmed lockas att lämna känsliga uppgifter.
(Säkerhetskollen, 23/2)
https://sakerhetskollen.se/aktuella-brott/forsakringskassan-varnar-for-bedragare

Rapporter och analyser

Amerikanska VulnCheck har sammanställt en rapport gällande utnyttjandet av sårbarheter för angrepp, och konstaterar att endast ca 1% av alla rapporterade sårbarheter (CVE) blir utnyttjade av hotaktörer. De sårbarheter som utnyttjas är desto allvarligare då angreppen är omfattande och sker i snabb takt. Denna grupp av sårbarheter eftersöks och utnyttjas rutinmässigt av hotaktörer enligt rapporten.
(HackRead, 26/2)
https://hackread.com/1-security-flaws-drive-cyberattacks-2025-report/

Lösensumman i utpressningsangrepp fortsätter att bli lägre samtidigt som utpressningsangreppen blir fler. Detta på grund av att utbudet på ransomware-as-a-service har blivit brett och därför får hotaktörer lägre trösklar för sina angrepp. CERT-SE rekommenderar att aldrig betala lösensumma, då det inte finns några garantier för att system återställs och att angriparen inte återkommer med nya krav.
(The Record, 26/2)
https://therecord.media/ransomware-payments-chainalysis-cybercrime

I en rapport från Google Threat Intelligence, Mandiant och samarbetspartners beskrivs hur en global cyberspionagekampanj har avslöjats. Bakom kampanjen finns förmodade kinesiska hotaktörer som har riktat in sig på telekomindustrin och offentlig sektor. Spionaget har pågått sedan 2023 och har påverkat över 50 organisationer i drygt 40 länder, däribland Sverige.
(Bleeping Computer, 25/2), (Google Threat Intelligence, 25/2)
https://www.bleepingcomputer.com/news/security/chinese-cyberspies-breached-dozens-of-telecom-firms-govt-agencies/ … https://cloud.google.com/blog/topics/threat-intelligence/disrupting-gridtide-global-espionage-campaign/

I Acronis Cyberthreats Report för andra halvåret 2025 beskrivs hur AI används allt mer effektivt av hotaktörer. Det handlar inte så mycket om att skapa nya typer av angrepp, utan istället att på ett markant sätt öka effektiviteten i redan beprövade angreppsmetoder.
(Acronis, 20/2)
https://www.acronis.com/en/blog/posts/acronis-cyberthreats-report-h2-2025-cybercriminals-are-now-scaling-attacks-with-ai/

Övrigt

Under oktober 2025 drabbades Affärsverken i Karlskrona av ett utpressningsangrepp som påverkade kraftvärmeverkets nya styrsystem. En tydlig krisplan, kommunikationsinsatser och redundans i produktionssystemet bidrog till att företaget kunde ta sig ur situationen. En lärdom som lyfts är krisledningens centrala roll samt vikten av en tydlig kommunikation, internt och externt.
(Tidningen Energi, 24/2)
https://www.energi.se/artiklar/2026/februari-2026/sa-klarade-affarsverken-cyberattacken/

Ett antal grönländska hemsidor har blivit överbelastade. Den proryska hotaktören NoName057 tar på sig ansvar för angreppen och beskriver det som en hämnd mot Danmarks stöd till Ukraina.
(TV2 Danmark, 20/2)
https://nyheder.tv2.dk/live/2025-01-06-kampen-om-groenlands-fremtid/russisk-hackergruppe-tager-ansvar-for-angreb-mod-groenland?entry=a786d060-bbba-4285-bf77-ca51a383b636

Regeringen har lanserat en ny AI-strategi med utgångspunkten att Sverige ska vara bland de tio främsta nationerna inom AI i världen. Bland annat beskriver strategin att brottsbekämpande myndigheter möter allt mer komplexa utmaningar som förstärks när AI används som brottsverktyg. Strategin ska bidra till att brottsbekämpande myndigheter får rätt förutsättningar för att förstå och effektivt använda AI.
(Regeringen, 20/2)
https://www.regeringen.se/regeringens-politik/sveriges-ai-strategi

Från CERT-SE

Cisco har publicerat information om en nolldagssårbarhet (CVE-2026-20127) som påverkar i Cisco Catalyst SD-WAN Controller (tidigare vSmart) och Cisco Catalyst SD-WAN Manager (tidigare vManage). Sårbarheten är kritisk och har fått en CVSS v3.1-klassning på 10 av Cisco.
(Publicerad 26/2)
https://www.cert.se/2026/02/kritisk-nolldagssarbarhet-i-cisco-catalyst-sd-wan.html

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-02-27 15:00 Uppdaterad

MISP-övningar

Behöver din organisation stärka sin förmåga att hantera cyberhot och arbeta effektivt med informationsdelning? Då kan...

MISP-SE
2026-02-27 14:15

CERT-SE:s veckobrev v.9

Veckans läsning innehåller bland annat artiklar om fortsatta utmaningar med olika typer av cyberangrepp men även...

Veckobrev
2026-02-26 08:45

Kritisk nolldagssårbarhet i Cisco Catalyst SD-WAN

Cisco har publicerat information om en nolldagssårbarhet (CVE-2026-20127) som påverkar i Cisco Catalyst SD-WAN Controller (tidigare...

Sårbarhet Cisco Catalyst SD-WAN
2026-02-20 12:15

CERT-SE:s veckobrev v.8

Bland veckans läsning finns till exempel en rapport om ökade angrepp mot OT-system (och om du...

Veckobrev
2026-02-19 12:35

Kritisk sårbarhet i Dell RecoverPoint for Virtual Machines

Dell har publicerat information om en kritisk sårbarhet (CVE-2026-22769) som påverkar RecoverPoint for Virtual Machines. Sårbarheten...

Sårbarhet Dell RecoverPoint for Virtual Machines

Nyheter