RansomHub ransomware group den mest aktiva ransomware-operationen 2024 

RansomHub ransomware group har riktat in sig på över 600 organisationer världen över, vilket gör den till den mest aktiva ransomware-operationen 2024, enligt Group-IB. Gruppen utnyttjar tidigare sårbarheter i Microsoft Active Directory och Netlogon för att få åtkomst till domänkontroller och sprida sig i nätverk. 

RansomHub dök upp i februari 2024 efter att ha förvärvat källkoden från den numera nedlagda ransomware-gruppen Knight. Sedan dess har den utökat sina kapaciteter och erbjuder varianter som kan kryptera Windows, VMware ESXi och SFTP-servrar. Gruppen rekryterar också affiliates från LockBit och BlackCat för att stärka sina operationer. 

I en nyligen genomförd attack använde RansomHub brute force på en VPN-tjänst, med hjälp av en databas med 5 000 inloggningsuppgifter, innan de utnyttjade sårbarheter i Active Directory och Netlogon. Data krypterades och exfiltrerades inom 24 timmar. 

Ransomware-landskapet förändras nu mot utpressningsbaserade attacker, där grupper som RansomHub och Akira tjänar pengar på stulna data snarare än enbart kryptering, eftersom fler offer vägrar att betala lösensummor. 

NailaoLocker ransomware riktar in sig på europeisk sjukvård i cyber-spionage attacker 

En ny ransomware-variant, NailaoLocker, har upptäckts rikta in sig på verksamheter inom sjukvården i Europa mellan juni och oktober 2024. Angriparna utnyttjade sårbarheten CVE-2024-24919 i Check Point Security Gateway för att bryta sig in i nätverk och installera skadlig kod, inklusive ShadowPad och PlugX, kopplade till kinesiska statsstödda hackergrupper. 

🔹 Viktiga upptäckter: 

• NailaoLocker är en enkel ransomware utan anti-debugging eller sandbox-funktioner. 

• AES-256-CTR används för att kryptera filer, vilket lägger till filändelsen “.locked”. 

• En ovanligt lång lösenbrevsfil anges, där offren uppmanas att kontakta en ProtonMail-adress. 

• Ingen dataexfiltration bekräftas, vilket är ovanligt för moderna ransomware-attacker. 

Säkerhetsforskare föreslår att attackerna kan vara en falsk flagga, strategisk datastöld eller statligt stödda hackare som jobbar extra för vinst – en förändring i taktik för kinesiska grupper. 

Snake Keylogger-variant riktar in sig på Windows-användare med avancerade tekniker 

En ny variant av Snake Keylogger (Autolt/Injector.GTY!tr) utgör ett allvarligt hot mot Windows-användare, genom att använda avancerade tekniker för att stjäla känsliga uppgifter från Chrome, Edge och Firefox. 

Sedan januari 2025 har FortiGuard Labs blockerat över 280 miljoner infekteringsförsök, med de flesta attackerna i Kina, Turkiet, Indonesien, Taiwan och Spanien. Skadlig programvara sprids via phishing-e-post, där den använder AutoIt-skript och process hollowing för att undvika upptäckt. 

När den är aktiv registrerar den tangenttryckningar, stjäl autofyll-information från webbläsare och kopierar urklippsdata, innan den exfiltrerar information via SMTP och Telegram-botar. Angripare använder också checkip.dyndns.org för att lokalisera offer geografiskt. 

🔹 Rekommenderade åtgärder: 

• Implementera avancerad sandboxing för att analysera skadliga skript och binärer. 

• Blockera kända C2-servrar. 

• Utbilda anställda om phishing-risker. 

Med Snake Keyloggers ständigt förbättrade tekniker, krävs AI-driven hotanalys och flerskiktade försvar för att skydda organisationer. 

Ransomware-attacker drabbar Storbritanniens största boktryckeri och litterära agentur 

Två stora brittiska förlag och tryckerier, CPI Books och The Agency, har drabbats av ransomware-attacker som påverkar både deras verksamhet och ekonomi. 

CPI Books, Storbritanniens största boktryckeri, fick sina IT-system nedstängda den 7 februari, och som stoppade produktionen i nio fabriker. Det oberoende förlaget Firefly Press rapporterade stora ekonomiska förluster, då de tvingades leta efter alternativa tryckerier. CPI arbetar nu med cybersäkerhetsspecialister för att återställa sina system. 

The Agency, en ledande litterär agentur, blev måltavla för ransomware-gruppen Rhysida, samma grupp som attackerade British Library. Hackarna hotar att läcka stulna data om ingen lösensumma betalas. 

Dessa attacker belyser den växande cyberhotbilden inom medie- och förlagsbranschen. British Library spenderade tidigare £6 miljoner (81 MSEK) på att återhämta sig från en Rhysida-attack 2023. 

Cyberattack stör Nordirlands största bostadsleverantör 

Choice Housing, en av Nordirlands största sociala bostadsleverantörer, har drabbats av en cyberattack tidigare denna månad, vilket orsakade stora IT-störningar och förseningar för hyresgästerna. 

Attacken tros ha börjat via en skadlig e-postbilaga, vilket tvingade personalen att arbeta hela helgen för att hantera konsekvenserna. Choice, som förvaltar över 10 000 sociala bostäder och 4 700 fastigheter i Belfast, stängde ner sina system av säkerhetsskäl men tror inte att några känsliga data komprometterades. 

🔹 Vidtagna åtgärder: 

• Återställningsplan för att snabbt återuppta verksamheten. 

• Personalen varnas för nya potentiella hot. 

• Fullständig genomgång av attacken pågår. 

Hoten mot fastighetssektorn ökar. En rapport från RSM UK visade att en av fyra bostadsföreningar i Storbritannien hade varit måltavla för cyberbrottslingar under det senaste året. 

Jamaica nu det mest utsatta landet för cyberattacker i Latinamerika och Karibien 

Jamaica har blivit det mest cyberattackerade landet i Latinamerika och Karibien, enligt Mervyn Eyre, VD för Fujitsu Caribbean. Han framhåller den höga attackfrekvensen och den låga beredskapen, där jamaicanska organisationer utsätts för 2 582 attacker per vecka, långt över det globala genomsnittet. 

Senaste incidenter inkluderar en ransomware-attack på Biomedical Caledonia Medical Lab, där över 70 000 filer stals och läcktes på dark web. Andra offer inkluderar en börsnoterad jamaicansk firma och en bilåterförsäljare som tvingades stänga verksamheten. 

Cyberbrottslingar använder också stulna data för bedrägerier, med rapporter om phishing-samtal och skadliga meddelanden. Trots detta ökar investeringarna i cybersäkerhet i landet. 

Insight Partners bekräftar cyberattack 

Den New York-baserade riskkapitalfirman Insight Partners har bekräftat att man utsattes för en cyberattack i januari 2025. I ett uttalande den 18 februari avslöjade företaget att en obehörig tredje part fick åtkomst till vissa delar av dess system genom en sofistikerad social ingenjörsattack. 

Attacken upptäcktes den 16 januari, vilket ledde till omedelbara åtgärder för att begränsa och åtgärda intrånget. Insight Partners har meddelat att varken verksamhet eller investeringar har påverkats. 

Företaget har underrättat myndigheter, partners och portföljbolag, inklusive Armis, SentinelOne och Wiz, och arbetar nu med cybersäkerhetsexperter för att bedöma skadans omfattning. 

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.