Publicerad: 2026-04-30 12:15

CERT-SE:s veckobrev v.18

I veckans brev kan du bland annat läsa om fortsatta leveranskedjeangrepp mot utvecklare. Du kan också läsa om en debattartikel från NCSC gällande hur AI-modeller utmanar cybersäkerheten. Som vanligt hittar du även nyheter, rapporter och analyser inom cybersäkerhetsområdet från veckan som har gått.

Glad valborg önskar CERT-SE!

Nyheter från veckan

Under onsdagen uppstod en störning i Region Sörmlands interna system, vilket hindrade åtkomst till regionens hemsida, intranät och journalsystemet Cosmic. Till följd av IT-problemen gick regionen upp i stabsläge. Under eftermiddagen uppgav regionen till SVT Sörmland att IT-problemen var lösta. Händelsen ska ha berott på interna faktorer, enligt regionen.
(SVT, 29/4)
https://www.svt.se/nyheter/lokalt/sormland/stora-it-problem-hos-region-sormland-gar-upp-i-stabslage …
(Region Sörmland, 29/4)
https://regionsormland.se/nyheter/nyhetslista/natverksproblemen-losta/

CISA har utfärdat en varning för en kritisk nolldagssårbarhet i Microsoft Windows som utnyttjas aktivt. Sårbarheten CVE-2026-32202 lades till i CISA:s KEV (Known Exploited Vulnerabilities) under tisdagen. Sårbarheten gör det möjligt för en angripare att dölja sin närvaro i nätverk genom att imitera identiteter (spoofing) och är kopplad till säkerhetsbrister i Windows Shell.
(Cyber Security News, 29/4)
https://cybersecuritynews.com/windows-shell-0-click-vulnerability/

En hotaktör har publicerat en skadlig version av paketet elementary-data i PyPI (Python Package Index) med syfte att stjäla känslig information och kryptoplånböcker från utvecklare. Detta är ännu ett exempel i en längre rad av leveranskedjeangrepp riktade mot utvecklare under det senaste året. Elementary-data-paketet har över en miljon nedladdningar per månad. Den korrupta versionen av paketet som innehåller skadlig kod i form av en infostealer, är 0.23.3.
(Bleeping Computer, 27/4)
https://www.bleepingcomputer.com/news/security/pypi-package-with-11m-monthly-downloads-hacked-to-push-infostealer/

Det medicintekniska företaget Medtronic med verksamhet i 150 länder, däribland Sverige, har utsatts för ett angrepp. Företaget uppger att en obehörig part tillskansat sig åtkomst till vissa IT-system inom företaget. Intrånget ska inte ha påverkat kunder eller produkter. Hotaktören Shinyhunters har tagit på sig ansvar för angreppet.
(Bleeping Computer, 27/4)
https://www.bleepingcomputer.com/news/security/medtronic-confirms-breach-after-hackers-claim-9-million-records-theft

Det amerikanska företaget Itron Inc., som säljer teknik och tjänster för energi- och vattenresurshantering, har blivit utsatta för ett dataintrång där en obehörig part tillskansat sig åtkomst till vissa av företagets interna system. Intrånget ska ha blivit känt för företaget den 13 april.
(Bleeping Computer, 26/4)
https://www.bleepingcomputer.com/news/security/american-utility-firm-itron-discloses-breach-of-internal-it-network/

Rapporter och analyser

En ny rapport beskriver hur Vidar Infostealer sprids i en uppdaterad version, bland annat genom korrupta CAPTCHA-promptar i Wordpress-sajter som inledningen på ett clickfix-angrepp. Enligt rapporten har Vidar i den nya versionen utvecklats till ett anpassningsbart och kraftfullt ramverk för angrepp, med syftet att stjäla känslig information.
(HackRead, 27/4)
https://hackread.com/vidar-infostealer-fake-captchas-jpeg-txt-files/

Enligt en analys från Unit42 nådde säkerheten i npm-ekosystemet en kritisk vändpunkt i september 2025. Den självreplikerande skadlig koden, Shai-Hulud, som automatiserade komprometteringen och spridningen av skadliga paket, markerade starten på ett hotlandskap med allvarliga konsekvenser. I analysen redogör Unit 42 för en aggressiv acceleration i frekvensen och den tekniska komplexiteten hos angrepp mot leverantörskedjan. Rapporten inkluderar även förebyggande åtgärder och vägledning gällande leveranskedjeangrepp.
(Unit 42, Palo Alto Networks 24/4)
https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/

Cybersäkerhetsföretaget Mandiant har publicerat en rapport om hur hotaktören UNC6692 använder social manipulering för att inleda angrepp i syfte att installera skadlig kod. Hotaktörens tillvägagångssätt består bland annat av att utge sig för att vara Microsofts IT-support via Teams för att få måltavlan att klicka på en länk som felaktigt uppges installera en säkerhetsuppdatering som ska förhindra spam. Istället installeras och körs skadlig kod på måltavlans enhet. Som förarbete för angreppet har UNC6692 skapat ett upplägg för att skicka omfattande mängder skräppost till måltavlorna.
(Mandiant, 23/4)
https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware

Övrigt

I en debattartikel i Dagens industri skriver John Billow, chef för Nationellt cybersäkerhetscenter, om AI-modeller. I artikeln lyfts bland annat fram hur AI-modeller kan bidra till arbetet med cybersäkerhet, men även kan försvåra och utmana arbetet på flera plan.
(DI, 26/4)
https://www.di.se/debatt/ai-modeller-utmanar-var-cybersakerhet/

Från CERT-SE

CERT-SE har publicerat ett blixtmeddelande om en kritisk sårbarhet i cPanel, WHM samt WP Squared. Sårbarheten, CVE-2026-41940, har fått en CVSS-klassning på 9.8. Ett framgångsrikt utnyttjande innebär att en oautentiserad användare kan tillskansa sig tillgång till kontrollpanelen. En PoC (Proof of concept) för hur sårbarheten kan utnyttjas finns tillgänglig. Det finns även indikationer på att sårbarheten har utnyttjats aktivt.
(CERT-SE, 30/4)
https://www.cert.se/2026/04/kritisk-sarbarhet-i-cpanel.html

CERT-SE har uppdaterat en tidigare artikel gällande en kritisk sårbarhet i Microsoft ASP.NET Core Data Protection. Sårbarheten, CVE-2026-40372, påverkar förutom Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGet packages även Visual Studio 2026 18.5. CERT-SE rekommenderar de som inkluderar ramverkskomponenten att skyndsamt följa leverantörens rekommendationer.
(CERT-SE, 29/4)
https://www.cert.se/2026/04/kritisk-sarbarhet-i-microsoft-aspnet-core-data-protection.html

CERT-SE har uppdaterat med information om var övningarna gällande MISP-SE ska hållas samt uppdatering kring preliminära datum för övningar. MISP-övningen riktar sig till organisationer inom privat och offentlig sektor som omfattas av NIS2, organisationer som bedriver samhällsviktig verksamhet, statliga myndigheter samt de som levererar väsentlig it-drift och/eller säkerhetslösningar till andra organisationer.
(CERT-SE, 27/4)
https://www.cert.se/2026/02/misp-se-ovningar.html

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-04-30 12:15

CERT-SE:s veckobrev v.18

I veckans brev kan du bland annat läsa om fortsatta leveranskedjeangrepp mot utvecklare. Du kan också...

Veckobrev
2026-04-30 11:25 Blixtmeddelande

BM26-001 Kritisk sårbarhet i cPanel

cPanel har publicerat information om en kritisk sårbarhet i deras produkter cPanel, WHM samt WP Squared....

Blixtmeddelande cPanel WHM WP Squared
2026-04-29 12:30 Uppdaterad

Kritisk sårbarhet i Microsoft ASP.NET Core Data Protection

Microsoft har publicerat information om en kritiskt sårbarhet i Microsoft AspNet Core Data Protection. [1]

Sårbarhet Microsoft
2026-04-27 11:10 Uppdaterad

MISP-övningar

Behöver din organisation stärka sin förmåga att hantera cyberhot och arbeta effektivt med informationsdelning? Då kan...

MISP-SE
2026-04-24 15:30

CERT-SE:s veckobrev v.17

I veckobrevet kan du bland annat läsa om ett flertal sårbarheter samt information kring utvecklingen gällande...

Veckobrev

Nyheter