Cyberangriff auf Jaguar Land Rover wird voraussichtlich der teuerste in Großbritannien – Schaden von 1,9 Milliarden Pfund erwartet

Der Cyberangriff auf Jaguar Land Rover (JLR) wird voraussichtlich 1,9 Milliarden Pfund kosten und gilt laut dem Cyber Monitoring Centre (CMC) als das wirtschaftlich folgenschwerste Cyberereignis in der Geschichte des Vereinigten Königreichs. Der Angriff, der Ende August begann, legte die Produktion von JLR für fünf Wochen still, störte den weltweiten Betrieb und beeinträchtigte 5.000 Unternehmen in der Lieferkette. Eine vollständige Erholung wird erst im Januar 2026 erwartet.

Das CMC stufte den Vorfall als externes Ereignis der Kategorie drei ein– ein Hinweis auf erhebliche Störungen, jedoch nicht auf das höchste Schwerelevel. Es warnte, dass dieser Angriff ein Weckruf für alle Organisationen sein sollte, ihre kritischen Netzwerke zu identifizieren und zu sichern. Obwohl JLR die Art des Angriffs nicht bestätigt hat, vermuten Experten, dass die Auswirkungen gravierender sein könnten, falls Ransomware oder Datenvernichtung beteiligt war. Die Schätzung des CMC umfasst Verluste für JLR, Zulieferer und die lokale Wirtschaft.

Chinesische Bedrohungsgruppen nutzen Zero-Day-Schwachstelle in Microsoft SharePoint aus

Mit China verbundene Hacker haben eine Zero-Day-Schwachstelle in Microsoft SharePoint ausgenutzt (CVE-2025-53770), um Regierungen, Bildungsinstitutionen, Telekommunikations- und Finanzsektoren weltweit anzugreifen. Die Schwachstelle, die lokale SharePoint-Server betrifft, wurde am 20. Juli offengelegt und nachdem aktive Ausnutzung bestätigt wurde direkt am Folgetag von Microsoft gepatcht.

Laut Symantec wurde die sogenannte ToolShell-Schwachstelle genutzt, um Webshells für dauerhaften Zugriff zu installieren, gefolgt vom Sideloading mehrerer Malware-Varianten, darunter Zingdoor, ShadowPad und KrustyLoader, die das Post-Exploitation-Framework Sliver implementierten. Die Kampagnen kompromittierten Organisationen im Nahen Osten, in Südamerika, Afrika, den USA und Europa.

Forscher berichten, dass die Angreifer legitime Sicherheitssoftware, wie Trend Micro- und BitDefender-Programme, nutzten, um Entdeckung zu vermeiden, und Zugangsdaten mit Tools wie ProcDump und Minidump stahlen. Die Angriffe, die Gruppen wie Budworm und Violet Typhoon zugeschrieben werden, verdeutlichen die anhaltende Ausnutzung kritischer Unternehmenssysteme zu Spionage- und Datendiebstahlzwecken.

Iranische Bedrohungsgruppe MuddyWater zielt mit Phoenix-Backdoor auf MENA-Regierungen ab

Die mit dem Iran verbundene Bedrohungsgruppe MuddyWater hat laut einem Bericht von Group-IB eine neue Cyberspionagekampagne gestartet, die sich gegen über 100 Regierungs- und diplomatische Organisationen im Nahen Osten und Nordafrika richtet. Mithilfe eines kompromittierten E-Mail-Kontos, das über NordVPN abgerufen wurde, verschickte die Gruppe Phishing-E-Mails, die wie legitime diplomatische Korrespondenz aussahen.

Die Opfer wurden dazu verleitet, schädliche Word-Dokumente zu öffnen und Makros zu aktivieren, was die Installation der Backdoor Phoenix v4 über einen Loader namens FakeUpdate auslöste. Nach der Installation konnten die Angreifer Systeminformationen sammeln, Zugriff behalten und die infizierten Systeme aus der Ferne steuern.

Forscher fanden heraus, dass der Command-and-Control-Server auch Tools zum Diebstahl von Anmeldedaten und zur Fernüberwachung enthielt, was auf umfangreiche nachrichtendienstliche Aktivitäten hindeutet. MuddyWater, das seit 2017 aktiv ist, wird mit dem iranischen Ministerium für Nachrichtendienst und Sicherheit in Verbindung gebracht. Die Kampagne zeigt die zunehmende Raffinesse der Gruppe, die maßgeschneiderte Malware mit legitimer Software kombiniert, um Tarnung und Beständigkeit zu erhöhen.

Experian Niederlande wegen DSGVO-Verstößen mit 2,7 Millionen Euro Strafe belegt

Experian Niederlande wurde von der niederländischen Datenschutzbehörde (AP) mit einer Geldstrafe von 2,7 Millionen Euro (£2,3 Millionen) belegt, weil das Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Die Behörde stellte fest, dass das Kredit- und Analyseunternehmen personenbezogene Daten illegal aus verschiedenen öffentlichen und privaten Quellen – darunter Telekommunikations- und Energieunternehmen – gesammelt hat, ohne Betroffene zu informieren oder deren Einwilligung einzuholen.

Die Untersuchung der AP begann nach Beschwerden von Personen, die aufgrund nicht offengelegter Kreditprüfungen von Experian höhere Kautionen und Zinssätze zahlen mussten. Die Behörde kam zu dem Schluss, dass Experian eine umfangreiche Datenbank über Millionen niederländischer Bürger aufgebaut hat, ohne die Notwendigkeit dieser Datensammlung zu rechtfertigen.

Experian hat das Fehlverhalten eingeräumt und wird die Entscheidung nicht anfechten. Das Unternehmen hat seine Tätigkeit in den Niederlanden eingestellt und sich verpflichtet, alle gespeicherten personenbezogenen Daten bis Ende 2025 zu löschen. Die Entscheidung der AP verdeutlicht den zunehmenden regulatorischen Druck auf Kreditauskunfteien, die Transparenzanforderungen der DSGVO einzuhalten.

Hacker nutzen ’SessionReaper’-Schwachstelle in Adobe Commerce für Massenangriffe aus

Hacker nutzen aktiv die kritische Schwachstelle SessionReaper (CVE-2025-54236) in Adobe Commerce aus, wobei bereits Hunderte von Angriffsversuchen registriert wurden. Forscher bezeichnen sie als eine der schwerwiegendsten Sicherheitslücken in der Geschichte der Plattform.

SessionReaper ermöglicht es Angreifern, Kundensitzungen über die REST-API von Adobe Commerce zu übernehmen, ohne dass eine Benutzerinteraktion erforderlich ist. Trotz der Veröffentlichung eines Notfall-Patches am 8. September berichten Forscher, dass rund 62 % der auf Magento basierenden Shops noch ungepatcht sind. Innerhalb eines einzigen Tages wurden über 250 Ausnutzungsversuche festgestellt, die hauptsächlich von fünf bekannten IP-Adressen ausgingen.

Die meisten Angriffe nutzten bisher PHP-Webshells oder prüften Systemkonfigurationen. Experten warnen, dass kürzlich veröffentlichte technische Analysen die Zahl der Angriffe weiter erhöhen könnten. Administratoren werden dringend aufgefordert, das Sicherheitsupdate von Adobe oder empfohlene Gegenmaßnahmen umgehend zu implementieren, um Kontenübernahmen und mögliche Datenschutzverletzungen zu verhindern.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.