La Agencia de Asistencia Legal del Reino Unido investiga un incidente cibernético mientras el sector minorista enfrenta una nueva ola de ransomware

La Agencia de Asistencia Legal (LAA), parte del Ministerio de Justicia del Reino Unido, está investigando un incidente cibernético que podría haber expuesto información financiera de proveedores de asistencia legal. En una carta enviada a despachos jurídicos, la agencia advirtió que los atacantes podrían haber accedido a datos de pago, aunque no se ha confirmado ninguna violación. La agencia gestiona miles de millones en fondos públicos y trabaja con unos 2.000 proveedores en Inglaterra y Gales.

La Agencia Nacional contra el Crimen (NCA) y el Centro Nacional de Seguridad Cibernética (NCSC) están apoyando la investigación. El incidente se produce tras ataques de ransomware contra cadenas como Co-op, Harrods y Marks & Spencer —atribuido al grupo DragonForce usando tácticas de Scattered Spider—, lo que refuerza la preocupación por la seguridad cibernética en el sector minorista del Reino Unido.

Los ataques DDoS aumentan un 358% interanual en el Q1 2025: Alemania el país más atacado

Según el informe de amenazas DDoS Q1 2025 de Cloudflare, los ataques DDoS alcanzaron los 20,5 millones a nivel mundial, un aumento del 358% respecto al mismo periodo de 2024. Alemania fue el país más afectado, seguida de Turquía y China, mientras que Hong Kong fue la principal fuente de ataques.

Cloudflare bloqueó más de 700 ataques hiper-volumétricos (más de 1 Tbps o 1 Bpps), incluidos eventos récord como uno que alcanzó los 4,8 Bpps. Sectores como el gaming, telecomunicaciones y ciberseguridad fueron los más atacados. Aunque muchos ataques son pequeños, siguen siendo suficientes para saturar sistemas sin protección.

Campaña de phishing se hace pasar por TAP Air Portugal tras apagón en la península ibérica

Tras un gran apagón en España, Portugal y otras partes de Europa a finales de abril, cibercriminales lanzaron una campaña de phishing haciéndose pasar por TAP Air Portugal. Los correos prometían reembolsos por retrasos de vuelos debido al apagón, redirigiendo a las víctimas a páginas falsas para robar datos personales y financieros.

Los enlaces maliciosos estaban alojados en sitios WordPress comprometidos. El phishing se presentaba como una reclamación legítima bajo el reglamento europeo de derechos de los pasajeros aéreos. Aunque se descartó un ataque cibernético como causa del apagón, el incidente sigue bajo investigación.

Ataque de ransomware afecta la red educativa del Consejo de West Lothian

El Consejo de West Lothian confirmó un ataque de ransomware contra su red escolar el 6 de mayo. La investigación sigue activa con apoyo de Police Scotland y el Gobierno de Escocia. No hay pruebas de que se haya accedido a datos sensibles y las redes públicas siguen operativas. Las escuelas permanecen abiertas y los exámenes SQA no se verán afectados.

La red educativa ha sido aislada mientras el equipo de TI trabaja en su restauración. El consejo administra 133 escuelas, incluidas 13 secundarias.

South African Airways confirma ataque cibernético: inicia investigación

South African Airways (SAA) confirmó un ataque cibernético que afectó su sitio web, app móvil y sistemas internos el 3 de mayo. Activaron protocolos de emergencia y restauraron los servicios ese mismo día. SAA ha iniciado una investigación forense para determinar la causa y evaluar si hubo filtración de datos.

El incidente se suma a una ola de ataques en Sudáfrica, que también ha afectado a MTN y Cell C. Según ESET, Sudáfrica es el país africano más afectado por ransomware (más del 40% de los ataques del continente).

LockBit sufre violación de datos: se filtran credenciales y chats con víctimas

El grupo de ransomware LockBit sufrió una violación grave: su panel de afiliados en la dark web fue desfigurado con el mensaje “Don’t do crime CRIME IS BAD xoxo from Prague” y un enlace a una base de datos SQL. El archivo expone direcciones de bitcoin, chats con víctimas, nombres de empresas atacadas y 75 contraseñas en texto plano, como “Weekendlover69”.

BleepingComputer estima que la filtración ocurrió el 29 de abril. El ataque recuerda a un defacement previo contra Everest, lo que sugiere un posible vínculo. Este incidente se suma al golpe asestado por la Operación Cronos en 2024, que desmanteló 34 servidores del grupo.

La reputación de LockBit sigue deteriorándose y su futuro es incierto.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.