Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer. SSH Stalker bruker 15 år gammel IRC teknikk til C2. Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy.
Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer
Microsofts Patch Tuesday for februar 2026 retter rundt 60 sårbarheter i ulike produkter, inkludert seks aktivt utnyttede nulldagssårbarheter. Disse påvirker blant annet Windows SmartScreen, Windows Shell, Microsoft 365/Office, Internet Explorer, Desktop Window Manager, Remote Desktop Services og Remote Access Connection Manager.
Flere av sårbarhetene kan utnyttes ved at brukeren lures til å åpne en ondsinnet lenke, HTML-, LNK- eller Office fil. Andre kan gi lokal rettighetseskalering til SYSTEM nivå eller føre til tjenestenekt (DoS). Det finnes foreløpig begrenset offentlig informasjon om konkrete angrep, men funnene er blant annet kreditert Google Threat Intelligence Group, Microsoft, CrowdStrike og Acros Security. Dette kan indikere at profesjonelle aktører, muligens statssponsede, har vært involvert.
CISA har lagt de seks nulldagssårbarhetene til i sin KEV katalog, noe som understreker alvoret. I tillegg til Windows og Office har Microsoft også patchet sårbarheter i Azure, Defender, Exchange, .NET, GitHub Copilot, Edge og Power BI.
Anbefaling:
Anbefalingen er å oppdatere berørte systemer så raskt som mulig.
SSH Stalker bruker 15 år gammel IRC teknikk til C2
Linux botnettet SSHStalker benytter klassiske IRC baserte kontrollmekanismer fremfor moderne C2 rammeverk, ifølge trusselintelligensselskapet Flare. I stedet for avansert stealth prioriterer aktørene skala, robusthet og lave kostnader. Botnettet sprer seg gjennom automatisert SSH skanning og brute force angrep, blant annet via en Go-binær som utgir seg for å være verktøyet nmap.
Når et system kompromitteres, brukes det videre til å skanne nye mål, en ormlignende spredningsmekanisme. På infiserte maskiner installeres blant annet GCC for å kompilere skadevare lokalt, og vedvarende tilgang sikres gjennom cron jobber som kjøres hvert minutt og relanserer bot prosessen dersom den stoppes.
SSHStalker inneholder også exploits for 16 eldre Linux kjerne (kernel) sårbarheter (fra 2009–2010) for å eskalere privilegier. Ifølge Flare er rundt 7 000 systemer trolig berørt, hovedsakelig innenfor skymiljøer som Oracle Cloud.
Når det gjelder formål, har forskerne observert funksjonalitet for blant annet innsamling av AWS nøkler, nettsideskanning, kryptomining (blant annet PhoenixMiner) og DDoS kapasitet, selv om aktiv bruk av DDoS foreløpig ikke er bekreftet. Botene ser i stor grad ut til å være i en ventefase, noe som kan indikere testing eller tilgangslagring.
Anbefaling:
Flare anbefaler blant annet å deaktivere passordbasert SSH-autentisering, fjerne kompilatorer fra produksjonsmiljøer, overvåke IRC-lignende utgående trafikk og reagere på mistenkelige cron-jobber med hyppig kjøring.
Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy
Den såkalte BYOVD teknikken går ut på å misbruke legitime, men sårbare drivere for å skaffe seg høyere rettigheter i Windows og deaktivere sikkerhetsløsninger slik at angrep kan gjennomføres uoppdaget. Metoden har i flere år vært populær blant løsepengegrupper.
I en fersk kampanje knyttet til løsepengevirus familien Reynolds ble en sårbar Windows driver fra NsecSoft pakket direkte inn i selve skadevaren. Normalt distribueres slike verktøy separat for å slå av sikkerhetsprogramvare før kryptering starter. Ved å kombinere alt i én fil blir angrepet både raskere og vanskeligere å stoppe.
Driveren inneholder en kjent sårbarhet som kan brukes til å avslutte vilkårlige prosesser, blant annet sikkerhetsprogrammer fra flere kjente leverandører. Forskerne peker på at denne typen integrert forsvarsomgåelse gjør angrep enklere å gjennomføre for tilknyttede aktører og reduserer muligheten for at forsvarere oppdager aktiviteten i tide.
Samtidig viser nye rapporter at ransomware landskapet blir stadig mer profesjonalisert. Flere grupper tilbyr nå støttefunksjoner for utpressing, benytter avanserte krypteringsmetoder og retter seg i økende grad mot skytjenester og feilkonfigurerte lagringsmiljøer. Antall angrep fortsatte å øke i 2025, og gjennomsnittlig løsepengebetaling steg betydelig mot slutten av året.
Eksperter understreker at misbruk av sårbare drivere fortsatt er en alvorlig utfordring, og at defensive tiltak ofte er reaktive, noe som gjør det krevende å stanse nye varianter før de tas i bruk i faktiske angrep.
