Oracle förnekar intrång medan en hacker påstås ha läckt drabbade företag

Den här veckan påstod en angripare att de har brutit sig in i en komponent av Oracles molntjänst. Oracle gick ut med ett offentligt förnekande och hävdade att inga tjänster hade påverkats. Trots detta delade en hotaktör med aliaset ‘rose87168’ dataprover som påstås ha stulits från Oracle Cloud-servrar – och flera företag har sedan dess anonymt bekräftat deras äkthet, enligt säkerhetsforskare och medier. Hackern hävdade att de hade fått tillgång till autentiseringsdata och krypterade lösenord för 6 miljoner användare, med en sårbarhet i Oracle Fusion Middleware 11g (CVE-2021-35587) som attackvektor.

Bevis från Wayback Machine tyder på att hotaktören vid ett tillfälle kunde skapa filer på Oracles server "login.us2.oraclecloud.com", där de placerade sin e-postadress i en fil som var offentligt tillgänglig.

Trots Oracles bestämda förnekande av att deras molnsystem skulle ha komprometterats, innehåller de påstått läckta uppgifterna korrekta LDAP-detaljer, e-postadresser och domäner kopplade till ett stort antal myndigheter och företag. Den aktuella servern har nu tagits offline. Utredningarna pågår fortfarande.

VanHelsing: nytt ransomware hotar flera plattformar

En ny ransomware-as-a-service (RaaS)-operation kallad VanHelsing har dykt upp, riktad mot system som Windows, Linux, BSD, ARM och ESXi. Den marknadsfördes första gången på cyberkriminalitetsforum den 7 mars, med gratis tillgång för erfarna användare och ett depositionskrav på 5 000 USD för nybörjare.
Enligt Check Point och CYFIRMA drivs VanHelsing av ryska cyberbrottslingar som förbjuder attacker inom OSS-länder. Affiliates behåller 80 % av lösensumman, hanterad via ett blockkedjebaserat escrow-system. Offrens filer laddas upp till gruppens servrar.
Skriven i C++, använder VanHelsing ChaCha20-kryptering och har smyglägen. På deras utpressningssajt på dark web listas just nu tre offer, inklusive en stad i Texas och två teknikföretag.
Trots vissa barnsjukdomar utvecklas verktyget snabbt och pekas ut som ett växande hot.

Cyberattack slår ut Ukrainas biljettsystem för järnväg

En storskalig cyberattack har slagit ut Ukrzaliznytsias biljettförsäljning online. Den 24 mars beskrev bolaget attacken som ”systematisk, komplex och flernivå”.
Trots detta rullar tågen enligt schema tack vare reservprotokoll. Resenärer uppmanas köpa biljetter i bemannade biljettkontor eller direkt på tåget, och undvika stationer om inte resan är nära förestående.
Ukrzaliznytsia samarbetar med den ukrainska säkerhetstjänstens cybersäkerhetsenhet och CERT-UA.
Med flygtrafiken i landet fortfarande stoppad är järnvägen livsviktig för landets transporter. Bara dagar före attacken drabbades järnvägen av ett ryskt flyganfall – men tågen rullar vidare.

Pro-ryska hackare attackerar belgiska myndigheter med DDoS

Den pro-ryska gruppen NoName057 genomförde en DDoS-attack mot flera belgiska myndighetssajter, däribland MyGov.be och Walloniens parlament. MyGov.be var otillgänglig delar av dagen.
Belgiska cybersäkerhetscentret svarade omedelbart och kontaktade berörda myndigheter. Gruppen har tidigare attackerat belgiska mål, senast i oktober under fem dagar.
Den senaste attacken tros vara en protest mot Belgiens nya biståndspaket till Ukraina.
DDoS-attacker överbelastar servrar men stjäl inte data. De flesta sajterna är nu online igen, men nya attacker kan inte uteslutas.

Cyberattack kostar sydafrikansk kycklingjätte över 1 miljon USD

Astral Foods, Sydafrikas största kycklingproducent, förlorade över 1 miljon dollar i intäkter efter en cyberattack den 16 mars. Attacken orsakade stora förseningar i produktion och leveranser.
Bolaget aktiverade omedelbart sina återhämtningsprotokoll och uppger nu att systemen är återställda. Inga känsliga uppgifter komprometterades.
Attackens natur är oklar och ingen grupp har tagit på sig ansvaret.
Jordbruks- och livsmedelssektorn är ett vanligt mål för ransomwaregrupper på grund av dess viktiga roll i leveranskedjan.

Google täpper till Chrome-noll-dag utnyttjad i APT-attacker

Google har släppt en nöduppdatering för en allvarlig Chrome-sårbarhet (CVE-2025-2783), som utnyttjats i attacker mot ryska organisationer.
Felet finns i Mojo IPC-biblioteket i Chrome på Windows och möjliggör sandbox-kringgång. Kaspersky spårar kampanjen under namnet ”Operation ForumTroll”.
Offren infekterades genom att klicka på phishinglänkar i mejl.
Sårbarheten möjliggjorde initial åtkomst; en andra exploit tros ha använts för fjärrkodexekvering.
Chrome- och Chromium-användare, inklusive Edge och Brave, uppmanas att uppdatera till version 134.0.6998.177/.178 omedelbart.

NHS-leverantör bötfälls med £3 miljoner efter ransomwareattack

Information Commissioner's Office (ICO) har bötfällt Advanced Computer Software Group med £3 miljoner efter en ransomwareattack 2022 som exponerade data från över 79 000 patienter.
Hackarna utnyttjade ett kundkonto utan tvåfaktorsautentisering (MFA).
Attacken påverkade kritiska NHS-tjänster, som NHS 111 och incheckningssystem.
ICO kritiserade företaget för bristande säkerhetsåtgärder och för att MFA inte var helt utbrett.
Företaget fick ursprungligen en böter på £6 miljoner, men summan halverades tack vare samarbete med myndigheter och sjukvården.

INTERPOL griper 306 i afrikansk cyberbrottsräd

INTERPOL har meddelat att 306 personer gripits i sju afrikanska länder i operationen Red Card (nov 2024–feb 2025), riktad mot digitala bedrägerier.
1 842 enheter beslagtogs och över 5 000 offer identifierades.
Nigeria ledde operationen med 130 gripanden, inklusive 113 utlänningar kopplade till investerings- och kasinobedrägerier. Vissa misstänkta tros ha utnyttjats i människohandel.
I Sydafrika avslöjades ett SIM box-bedrägeri. Zambia grep 14 personer för mobilbankbedrägeri via skadliga länkar. Rwanda rapporterade 45 gripanden för social ingenjörsbedrägerier som kostade offer över 300 000 USD.
Operationen visar ökad internationell samverkan mot cyberbrott.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.