Hacker im Zusammenhang mit M&S-Angriff bekennen sich zu Cyberattacke auf Jaguar Land Rover

Jaguar Land Rover (JLR), der größte Autohersteller Großbritanniens, hat einen schweren Cyberangriff bestätigt, der diese Woche die Produktion an wichtigen Standorten lahmlegte. Die Störung, die sowohl Fertigungs- als auch Handelssysteme betraf, wurde über einen Telegram-Kanal beansprucht, der mit den englischsprachigen Hackergruppen Scattered Spider, Lapsus$ und ShinyHunters verbunden ist. Der Kanal veröffentlichte Screenshots, die angeblich interne IT-Systeme von JLR zeigen, zusammen mit Medienberichten über den Vorfall.

JLR erklärte, dass es keine Hinweise darauf gebe, dass Kundendaten kompromittiert wurden, betonte jedoch, dass man die Systeme vorsorglich heruntergefahren habe, um die Auswirkungen einzudämmen. Zulieferer sollen erhebliche Störungen erlitten haben, mit potenziellen Verlusten in zweistelliger Millionenhöhe aufgrund stillgelegter Produktionslinien. Der Angriff ist der jüngste in einer Reihe von prominenten Vorfällen, an denen Scattered Spider beteiligt ist, das bereits M&S, Co-op und Harrods ins Visier genommen hat. Britische Behörden ermitteln, und die National Crime Agency bestätigte, dass sie die Lage genau überwacht.

Workiva von Salesforce-bedingtem Datenschutzvorfall betroffen

Der Cloud-basierte SaaS-Anbieter Workiva hat bestätigt, dass Angreifer auf ein CRM-System (Customer Relationship Management) eines Drittanbieters zugriffen und begrenzte Kundendaten stahlen. Bei der Datenpanne wurden Geschäftskontaktdaten wie Namen, E-Mail-Adressen, Telefonnummern und Inhalte von Support-Tickets offengelegt.

Workiva, dessen Plattform Finanzberichterstattung, Compliance und Audits unterstützt, zählt zu seinen 6.305 Kunden 85 % der Fortune-500-Unternehmen, darunter Google, Delta, T-Mobile und Santander. Das Unternehmen betonte, dass weder die eigene Plattform noch die dort gespeicherten Daten kompromittiert wurden. Betroffene Kunden wurden gewarnt, besonders wachsam gegenüber Spear-Phishing-Versuchen zu sein.

Der Vorfall ist Teil einer größeren Welle von Salesforce-Verstößen, die der Erpressergruppe ShinyHunters zugeschrieben werden. Durch Techniken wie Vishing und gestohlene OAuth-Tokens infiltrierte die Gruppe Salesforce-Instanzen großer Unternehmen, darunter Cloudflare, Google, Cisco, Adidas und Zscaler. Workiva erinnerte seine Kunden daran, dass sämtliche Kommunikation ausschließlich über offizielle Support-Kanäle erfolgt.

Hacker nutzen HexStrike-AI zur Ausnutzung von Citrix-Schwachstellen

Check Point Research warnt, dass Hacker zunehmend HexStrike-AI, ein quelloffenes, KI-gestütztes Offensiv-Sicherheitsframework, einsetzen, um neu bekannt gewordene Citrix-Schwachstellen auszunutzen. Das ursprünglich für Red-Teaming entwickelte Tool integriert KI-Agenten, die selbstständig über 150 Cybersicherheitswerkzeuge für Penetrationstests und Schwachstellenerkennung ausführen können.

Seit der Veröffentlichung auf GitHub im vergangenen Monat, wo es bereits 1.800 Sterne und über 400 Forks erhielt, hat HexStrike-AI in Dark-Web-Foren große Aufmerksamkeit erlangt. Laut Forschern nutzten Bedrohungsakteure es, um die Citrix NetScaler ADC- und Gateway-Lücken (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424) innerhalb weniger Stunden nach deren Bekanntgabe auszunutzen, was Remote-Code-Ausführung und das Platzieren von Webshells ermöglichte. Einige kompromittierte Geräte werden bereits zum Verkauf angeboten.

Laut ShadowServer sind fast 8.000 Endpunkte weiterhin gegenüber CVE-2025-7775 anfällig. Check Point warnt, dass KI-gesteuerte Automatisierung die Ausnutzungszeit von Tagen auf Minuten reduzieren könnte, wodurch Administratoren noch weniger Zeit zum Patchen haben.

Cloudflare blockiert rekordverdächtigen 11,5-Tbps-DDoS-Angriff

Cloudflare hat bestätigt, den bislang größten registrierten Distributed-Denial-of-Service-(DDoS)-Angriff abgewehrt zu haben. Der Angriff erreichte eine Spitze von 11,5 Terabit pro Sekunde (Tbps) und dauerte etwa 35 Sekunden. Zunächst auf Google Cloud zurückgeführt, wurde er später mit einer Kombination aus IoT-Geräten und mehreren Cloud-Anbietern in Verbindung gebracht. Es handelte sich um eine UDP-Flut, die in der Lage gewesen wäre, die meisten Onlinedienste lahmzulegen.

In derselben Mitteilung erklärte Cloudflare, dass seine Systeme in den letzten Wochen automatisch Hunderte von „hypervolumetrischen“ Angriffen abgewehrt hätten, darunter einen mit 5,1 Milliarden Paketen pro Sekunde (Bpps). Zum Vergleich: Der bisherige Rekord lag im Juni 2025 bei 7,3 Tbps, während im Oktober 2024 3,8 Tbps erreicht wurden – ein Beleg für die rapide wachsende Dimension solcher Angriffe.

Cloudflare will einen detaillierten Bericht veröffentlichen, warnte jedoch, dass massenhafte Angriffe dieser Größenordnung, die von Botnetzen mit Cloud-Infrastruktur betrieben werden, immer häufiger auftreten.

Hacker versuchen, 130 Millionen US-Dollar über Brasiliens Pix-System zu stehlen

Evertec hat bekanntgegeben, dass Hacker versucht haben, 130 Millionen US-Dollar von seiner brasilianischen Tochtergesellschaft Sinqia S.A. zu stehlen, nachdem sie deren Umgebung im Echtzeitzahlungssystem Pix kompromittiert hatten. Der Vorfall ereignete sich am 29. August 2025 und wurde bei der US-Börsenaufsicht SEC gemeldet.

Nach Entdeckung verdächtiger Aktivitäten stoppte Sinqia die Transaktionsverarbeitung und zog externe Cyberforensik-Experten hinzu. Die Angreifer nutzten gestohlene Anmeldedaten eines IT-Dienstleisters, um unautorisierte Überweisungen zwischen zwei Finanzinstituten zu versuchen. Lokale Medien nannten HSBC, doch die Bank betonte, dass weder Kundengelder noch -daten betroffen seien.

Evertec bestätigte, dass ein Teil der gestohlenen Gelder bereits wiederhergestellt wurde, während die Untersuchungen andauern. Obwohl keine personenbezogenen Daten kompromittiert wurden, entzog die brasilianische Zentralbank Sinqia vorübergehend den Pix-Zugang, bis weitere Garantien vorliegen. Evertec warnte, dass die finanziellen und reputationsbezogenen Auswirkungen „wesentlich sein könnten.“

 Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.