M&S bestätigt Datendiebstahl – Kundendaten entwendet, Verluste steigen

Marks & Spencer hat bestätigt, dass persönliche Kundendaten – darunter Telefonnummern, Wohnadressen, Geburtsdaten und Online-Bestellhistorien – bei einem kürzlichen Cyberangriff gestohlen wurden. Zahlungsdaten oder Passwörter wurden nicht kompromittiert, dennoch werden alle Website-Nutzer aufgefordert, ihre Passwörter vorsorglich zurückzusetzen.
Die vor drei Wochen erfolgte Attacke stört weiterhin die Services. Online-Bestellungen sind ausgesetzt – mit einem geschätzten wöchentlichen Umsatzverlust von 43 Millionen Pfund laut Bank of America.
CEO Stuart Machin sagte, dass betroffene Kunden kontaktiert und Maßnahmen mit Cybersicherheitsexperten und Behörden koordiniert werden. Obwohl es keine Hinweise auf eine Verbreitung der gestohlenen Daten gibt, besteht weiterhin das Risiko von Erpressung oder Identitätsdiebstahl.
Auch Co-op, ebenfalls Ziel eines Angriffs, will diese Woche die Dienste wieder aufnehmen.

Microsoft behebt 72 Schwachstellen im Mai – fünf Zero-Days aktiv ausgenutzt

Microsofts Patch Tuesday im Mai 2025 schließt 72 Schwachstellen, darunter fünf aktiv ausgenutzte Zero-Day-Lücken und zwei öffentlich bekannte Sicherheitslücken. Sechs als kritisch eingestufte Schwachstellen betreffen überwiegend Remote-Code-Ausführung.
Besonders besorgniserregend sind CVE-2025-30400 und CVE-2025-32701, beide ermöglichen lokale Rechteausweitung auf SYSTEM-Ebene.
Weitere Zero-Days: CVE-2025-32706, CVE-2025-32709 sowie CVE-2025-30397 (Remote-Code-Ausführung im Scripting Engine).
Öffentlich bekannt: CVE-2025-26685 (Spoofing in Microsoft Defender) und CVE-2025-32702 (RCE in Visual Studio).
Microsoft schreibt mehrere Entdeckungen seinem Threat Intelligence Center sowie externen Forschern von Google TAG und CrowdStrike zu.
Auch Apple, Cisco, Fortinet, Google, Intel und SAP veröffentlichten im Mai sicherheitsrelevante Updates. Unternehmen wird geraten, sofort zu patchen.

Cyberangriff bei Nucor unterbricht Stahlproduktion an mehreren Standorten

Nucor Corporation, der größte Stahlhersteller der USA, hat einen Cybervorfall gemeldet, bei dem IT-Systeme offline geschaltet und Teile der Produktion gestoppt wurden.
In einem 8-K-Filing bei der US-Börsenaufsicht SEC heißt es, ein unautorisierter Dritter habe Zugang zu Nucors Systemen erhalten.
Nach Entdeckung wurde der Vorfall eingedämmt, Systeme vom Netz genommen und Ermittlungen eingeleitet.
Nucor beschäftigt über 32.000 Mitarbeitende und verzeichnete im ersten Quartal 2025 einen Umsatz von 7,83 Milliarden USD.
Ob Daten gestohlen oder verschlüsselt wurden, ist bislang unklar. Bisher hat keine Ransomware-Gruppe die Verantwortung übernommen.

Scattered Spider erweitert Angriffe von Großbritannien auf US-Einzelhandel

Google warnt, dass die Hackergruppe Scattered Spider (UNC3944) ihre Ransomware-Aktivitäten auf US-Einzelhändler ausweitet.
Die Gruppe – bekannt für Social-Engineering-Taktiken wie SIM-Swapping und MFA-Fatigue – war für Angriffe auf M&S, Co-op und Harrods verantwortlich, bei denen DragonForce-Ransomware eingesetzt wurde.
Google-Analyst John Hultquist betont, dass die Gruppe gezielt Branchen nacheinander ins Visier nimmt – nun ist der US-Einzelhandel an der Reihe.
DragonForce, aktiv seit Ende 2023, bietet seine Dienste mittlerweile anderen Cybercrime-Gruppen an.
Das britische NCSC untersucht, ob es sich um eine koordinierte Kampagne handelt.
Scattered Spider ist für Angriffe auf MGM Resorts, Twilio, Coinbase und andere berüchtigt und besteht oft aus jungen, englischsprachigen Akteuren in losen Online-Netzwerken.

EU startet neue Schwachstellendatenbank zur Stärkung der Cybersicherheit

Die europäische Cybersicherheitsbehörde ENISA hat die European Vulnerability Database (EUVD) gestartet – eine zentrale Plattform für vertrauenswürdige Informationen zu Sicherheitslücken.
Ziel ist es, Europas Abhängigkeit von nicht-EU-Quellen wie der MITRE CVE-Datenbank zu reduzieren und die Lagebewertung zu verbessern.
Die EUVD wurde im Rahmen der NIS2-Richtlinie entwickelt und zeigt unter anderem ausgenutzte, kritische und EU-koordiniert gemeldete Schwachstellen an.
Die Einführung der EUVD folgt auf Unsicherheiten über die Finanzierung der MITRE CVE-Infrastruktur in den USA.
Laut Experten bietet die EUVD Resilienz, Redundanz und besser lokalisierte Informationen für Europa.

Pearson bestätigt massiven Cyberangriff – Kundendaten und Quellcode betroffen

Der britische Bildungskonzern Pearson hat einen schweren Cyberangriff im Januar 2025 bestätigt, bei dem Kundendaten und Unternehmensinformationen gestohlen wurden.
Die Angreifer nutzten einen öffentlich zugänglichen GitLab-Zugangstoken aus einer .git/config-Datei, um Zugriff auf interne Systeme und Quellcode zu erlangen.
Mit hartcodierten Zugangsdaten konnten sie auch auf AWS, Google Cloud, Snowflake und Salesforce CRM zugreifen. Über Monate hinweg wurden laut Berichten Terabytes an Daten exfiltriert.
Pearson spricht von „überwiegend veralteten Daten“, hat aber keine Details zur Anzahl der Betroffenen oder zu Lösegeldforderungen genannt.
Das Unternehmen arbeitet mit Forensikexperten und Behörden zusammen und hat seine Sicherheitsmaßnahmen verschärft.
Die Attacke steht offenbar im Zusammenhang mit einem ähnlichen Vorfall bei der Pearson-Tochter PDRI.
Experten warnen weiterhin vor Risiken durch exponierte Git-Konfigurationsdateien in Cloud-Umgebungen.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.