Interrupción cibernética en Marks & Spencer vinculada a ‘Scattered Spider’

La interrupción informática en curso en Marks & Spencer ha sido atribuida a un ataque de ransomware llevado a cabo por el notorio grupo de amenazas conocido como Scattered Spider. Fuentes informaron a BleepingComputer que el ataque, que cifró máquinas virtuales el 24 de abril, afectó sistemas como pagos sin contacto y operaciones en almacenes, obligando a unos 200 empleados a quedarse en casa.
Se informa que los atacantes accedieron a la red ya en febrero, robando credenciales de Active Directory mediante el archivo NTDS.dit y luego desplegaron el ransomware DragonForce en hosts VMware ESXi.
Scattered Spider, también conocido como Octo Tempest o UNC3944, es un grupo afiliado conocido por phishing, ataques de fatiga MFA, SIM swapping y técnicas avanzadas de ingeniería social.
M&S ha contratado a CrowdStrike, Microsoft y Fenix24 para gestionar la respuesta al incidente. La investigación sigue en curso.

Co-op confirma intento de ciberataque y desactiva sistemas internos

La cadena británica de supermercados Co-op confirmó haber detectado intentos de acceso no autorizado a sus sistemas, lo que llevó a desactivar parte de su infraestructura informática como medida preventiva. El incidente causó interrupciones en operaciones administrativas y centros de llamadas, aunque las tiendas, servicios funerarios y entregas en línea no se vieron afectados.
“Recientemente hemos experimentado intentos de acceso no autorizado a algunos de nuestros sistemas”, declaró un portavoz de Co-op.
El incidente se produce tras el ataque de ransomware a Marks & Spencer la semana pasada, atribuido al grupo Scattered Spider, aumentando las preocupaciones sobre amenazas cibernéticas en el comercio minorista del Reino Unido.

Nueva campaña de malware en WordPress usa plugin falso para tomar el control de sitios

Investigadores de seguridad descubrieron una nueva campaña de malware dirigida a sitios WordPress mediante un plugin falso que simula ser una herramienta de seguridad legítima. Este plugin proporciona acceso persistente al administrador, ejecución remota de código e inyección de JavaScript malicioso, mientras permanece oculto del panel de plugins.
Descubierto durante una limpieza de sitio en enero de 2025, el malware modifica el archivo wp-cron.php para instalar y reactivar un plugin llamado WP-antymalwary-bot.php. Otros nombres usados incluyen wpconsole.php y wp-performance-booster.php.
Una vez activo, permite el inicio de sesión a través de una función oculta y usa una ruta API REST personalizada para inyectar PHP en archivos de temas. Wordfence sospecha que el punto de entrada inicial fue una cuenta de hosting o credenciales FTP comprometidas. Se recomienda a los propietarios de sitios revisar wp-cron.php, header.php y registros de acceso sospechosos.

SK Telecom sufre violación de datos y ofrece reemplazo gratuito de SIM a 23 millones de usuarios

SK Telecom, el mayor operador móvil de Corea del Sur, reveló una importante filtración de datos causada por un ciberataque con malware. Las acciones de la empresa cayeron hasta un 8.5 %, el nivel más bajo desde agosto de 2023.
La brecha, detectada el 18 de abril, implicó la filtración masiva de datos de clientes. Como respuesta, SK Telecom anunció que asumirá total responsabilidad por cualquier daño y comenzó a ofrecer reemplazos gratuitos de tarjetas USIM a sus 23 millones de usuarios en más de 2,600 tiendas. También recomendó a los clientes activar su servicio de protección USIM.
Hasta el domingo, unos 5.54 millones de clientes ya se habían inscrito. Este incidente reaviva la preocupación por la seguridad de la infraestructura móvil y la protección de datos de los usuarios.

MTN informa violación de datos que afecta a clientes en ciertos mercados

MTN Group confirmó una brecha de datos en la que una “tercera parte desconocida” accedió a partes de sus sistemas, lo que resultó en la exposición no autorizada de datos de clientes en algunos mercados. Aunque aún no se ha revelado el número de afectados, MTN ha informado a la Policía de Sudáfrica (SAPS), la Dirección de Investigaciones Prioritarias (DPCI) y otras autoridades relevantes.
La empresa aseguró que su red principal, sistemas de facturación e infraestructura financiera permanecen seguros. “No tenemos evidencia de que se hayan comprometido cuentas o monederos de los clientes”, dijo MTN.
Actualmente está notificando a los usuarios afectados, pero aún no ha dado más detalles sobre el tipo de información comprometida. Ningún grupo criminal ha reivindicado el ataque hasta el 25 de abril. El incidente se suma a una serie de ataques cibernéticos contra telecomunicaciones sudafricanas.

El gobernador aborda ataque de ransomware en hospital JFL mientras aumentan amenazas en Islas Vírgenes

El gobernador Albert Bryan Jr. confirmó el lunes que el Hospital Juan F. Luis (JFL) enfrenta un ataque de ransomware, calificándolo como “otra crisis”. JFL informó del ataque el domingo, indicando que lanzó una investigación e implementó medidas para mitigar riesgos. A pesar de la brecha, los servicios clínicos siguen operando normalmente.
El ataque a JFL se produce tras otro incidente de ransomware en la Lotería de las Islas Vírgenes (VIL), que provocó semanas de interrupciones. Los atacantes exigieron un rescate de $1 millón, rechazado por el director de VIL, quien autorizó una reconstrucción total del sistema.
JFL no ha especificado cuántos datos se comprometieron, pero reiteró su compromiso con la privacidad de los pacientes. Se esperan más detalles a medida que avanza la investigación.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.