Cyberangriff auf Marks & Spencer mit Verbindung zu „Scattered Spider

Die anhaltende Cyberstörung bei Marks & Spencer wurde inzwischen einer Ransomware-Attacke der berüchtigten Bedrohungsgruppe „Scattered Spider“ zugeschrieben. Laut BleepingComputer verschlüsselten die Angreifer am 24. April virtuelle Maschinen, wodurch unter anderem kontaktloses Bezahlen und Lagerbetriebe gestört wurden – rund 200 Mitarbeitende mussten zu Hause bleiben.
Der erste Zugriff soll bereits im Februar erfolgt sein, wobei Active Directory-Zugangsdaten über die Datei NTDS.dit gestohlen wurden. Mit diesen Daten bewegten sich die Angreifer seitlich durch das Netzwerk und installierten die DragonForce-Ransomware auf VMware ESXi-Hosts.
Scattered Spider, auch bekannt als Octo Tempest oder UNC3944, ist eine lose organisierte Gruppe, die für Phishing, MFA-Bombing, SIM-Swapping und Social Engineering bekannt ist. M&S hat CrowdStrike, Microsoft und Fenix24 zur Unterstützung beauftragt. Die Ermittlungen dauern an, konkrete Details wurden bisher nicht veröffentlicht.

Co-op bestätigt versuchten Cyberangriff und Abschaltung von Backoffice-Systemen

Die britische Supermarktkette Co-op hat bestätigt, kürzlich einen versuchten unautorisierten Zugriff auf ihre Systeme entdeckt zu haben. Vorsorglich wurden Teile der IT-Infrastruktur heruntergefahren, was zu Störungen im Backoffice und Callcenter führte – die Filialen, Online-Plattformen und Bestattungsdienste blieben jedoch betriebsbereit.
Ein Sprecher erklärte: „Wir haben kürzlich Versuche festgestellt, unautorisierten Zugang zu einigen unserer Systeme zu erhalten. Als Folge haben wir proaktive Maßnahmen ergriffen, um unsere Systeme zu schützen.“
Noch ist unklar, ob der Angriff erfolgreich war. Niemand hat die Verantwortung übernommen. Der Vorfall folgt unmittelbar auf den Ransomware-Angriff bei Marks & Spencer – ein Zeichen für die wachsende Bedrohungslage im britischen Einzelhandel.

Neue WordPress-Malware nutzt gefälschtes Sicherheits-Plugin zur Übernahme von Webseiten

Sicherheitsforscher haben eine neue Malware-Kampagne entdeckt, die auf WordPress-Webseiten abzielt. Ein manipuliertes Plugin, das sich als Sicherheits-Tool tarnt, gewährt Angreifern Administratorzugang, Remote-Code-Ausführung und JavaScript-Injektionen – und bleibt dabei im Plugin-Dashboard verborgen.
Die Malware wurde im Januar 2025 bei einer Webseitenbereinigung entdeckt und nutzt eine veränderte wp-cron.php, um das Plugin WP-antymalwary-bot.php zu installieren und bei Entfernung automatisch zu reaktivieren. Weitere bekannte Dateinamen: addons.php, wpconsole.php, wp-performance-booster.php.
Einmal aktiv, meldet sich der Angreifer über eine versteckte Notfallfunktion an und verändert Theme-Dateien über eine benutzerdefinierte REST-API-Route. Wordfence vermutet kompromittierte Hosting- oder FTP-Zugangsdaten als Infektionsursache.

SK Telecom von großem Datenleck betroffen – 23 Millionen Nutzer erhalten kostenlose SIM-Karten

Südkoreas größter Mobilfunkanbieter SK Telecom hat ein großflächiges Datenleck gemeldet, verursacht durch einen Malware-basierten Cyberangriff. Die Aktie fiel daraufhin um bis zu 8,5 %. Der Angriff wurde am 18. April entdeckt, Details zum Umfang sind noch nicht veröffentlicht.
SK Telecom übernimmt die volle Verantwortung und bietet ab sofort allen 23 Millionen Kund:innen kostenlose USIM-Kartentausche in über 2.600 Geschäften an. Zudem wird der USIM-Schutzdienst beworben, der ähnliche Sicherheitsfunktionen bietet. Bereits über 5,5 Millionen Nutzer:innen haben sich registriert.

MTN meldet Datenschutzverletzung in mehreren Märkten

Die MTN Group hat eine Datenschutzverletzung durch eine „unbekannte Drittpartei“ bestätigt, bei der Kundendaten in ausgewählten Märkten unbefugt offengelegt wurden. Die genaue Anzahl der Betroffenen ist noch unbekannt.
MTN versichert, dass Kernsysteme wie das Abrechnungssystem und die Finanzinfrastruktur nicht betroffen sind. Es gebe keine Hinweise auf kompromittierte Kundenkonten. Die Behörden in Südafrika und betroffenen Ländern wurden informiert. Bis zum 25. April hat sich keine Bedrohungsgruppe zur Tat bekannt. Der Vorfall reiht sich ein in eine Serie von Cyberangriffen auf südafrikanische Telekomunternehmen.

Gouverneur bestätigt Ransomware-Angriff auf JFL-Krankenhaus – Cyber-Bedrohungen auf den Jungferninseln nehmen zu

Gouverneur Albert Bryan Jr. bestätigte am Montag, dass das Juan F. Luis Hospital (JFL) Ziel eines Ransomware-Angriffs wurde. Das Krankenhaus teilte mit, dass sofortige Ermittlungen eingeleitet und Sicherheitsmaßnahmen ergriffen wurden. Die Versorgung sei nicht beeinträchtigt.
Der Angriff folgt auf eine Ransomware-Attacke auf die Virgin Islands Lottery (VIL), bei der Hacker ein Lösegeld von 1 Million Dollar forderten – das jedoch abgelehnt wurde. Stattdessen wurde das System neu aufgebaut, die VIL nimmt am 29. April den Betrieb wieder auf.
Das JFL-Krankenhaus hat noch nicht bekannt gegeben, wie viele Daten betroffen sind, betont jedoch seinen Einsatz für Datenschutz und Transparenz. Weitere Informationen sollen folgen.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.