Hacker collegati alla violazione di M&S rivendicano l’attacco informatico a Jaguar Land Rover

Jaguar Land Rover (JLR), il più grande costruttore automobilistico britannico, ha confermato un grave attacco informatico che questa settimana ha costretto a fermare la produzione in siti chiave. L’interruzione, che ha colpito sia i sistemi produttivi sia quelli retail, è stata rivendicata da un canale Telegram collegato ai gruppi di hacker anglofoni Scattered Spider, Lapsus$ e ShinyHunters. Il canale ha pubblicato screenshot che mostrerebbero i sistemi IT interni di JLR insieme a copertura mediatica dell’incidente.

JLR ha dichiarato che non ci sono prove di compromissione dei dati dei clienti, ma ha spiegato di aver spento i sistemi in via preventiva per contenere l’impatto. I fornitori hanno subito gravi interruzioni, con perdite stimate in decine di milioni di sterline. L’attacco è l’ultimo di una serie di incidenti ad alto profilo legati a Scattered Spider, che ha già preso di mira M&S, Co-op e Harrods. Le autorità britanniche stanno indagando, con la National Crime Agency che ha confermato di monitorare attentamente la situazione.

Workiva colpita da violazione dei dati legata a Salesforce

Il provider SaaS cloud Workiva ha confermato che attaccanti hanno avuto accesso a un sistema CRM (customer relationship management) di terze parti, rubando dati limitati dei clienti. La violazione ha esposto informazioni di contatto aziendali come nomi, indirizzi e-mail, numeri di telefono e contenuti dei ticket di supporto.

Workiva, la cui piattaforma supporta reportistica finanziaria, conformità e audit, conta tra i suoi 6.305 clienti l’85% delle aziende Fortune 500, inclusi Google, Delta, T-Mobile e Santander. La società ha sottolineato che la propria piattaforma e i dati in essa contenuti non sono stati compromessi. Ai clienti interessati è stato raccomandato di rimanere vigili contro possibili tentativi di spear-phishing.

L’incidente è collegato a una più ampia ondata di violazioni Salesforce attribuite al gruppo estorsivo ShinyHunters. Utilizzando tecniche come il vishing e token OAuth rubati, il gruppo ha infiltrato istanze Salesforce di grandi aziende, tra cui Cloudflare, Google, Cisco, Adidas e Zscaler. Workiva ha ricordato ai clienti che tutte le comunicazioni ufficiali arrivano solo dai suoi canali di supporto.

Hacker sfruttano HexStrike-AI per colpire vulnerabilità Citrix

Check Point Research ha avvertito che gli hacker stanno adottando sempre più HexStrike-AI, un framework open source di offensive security basato su intelligenza artificiale, per sfruttare nuove vulnerabilità Citrix. Lo strumento, progettato originariamente per il red teaming, integra agenti AI in grado di eseguire autonomamente oltre 150 strumenti di sicurezza informatica per test di penetrazione e scoperta di vulnerabilità.

Dalla sua pubblicazione su GitHub il mese scorso, dove ha già raccolto 1.800 stelle e oltre 400 fork, HexStrike-AI ha attirato grande attenzione nei forum del dark web. Secondo i ricercatori, i criminali lo avrebbero usato per sfruttare le falle di Citrix NetScaler ADC e Gateway (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424) entro poche ore dalla loro divulgazione, ottenendo esecuzione remota di codice e installando webshell. Alcuni appliance compromessi sono già in vendita.

Secondo ShadowServer, quasi 8.000 endpoint restano esposti a CVE-2025-7775. Check Point avverte che l’automazione guidata dall’AI potrebbe ridurre i tempi di sfruttamento da giorni a pochi minuti, lasciando agli amministratori ancora meno tempo per applicare le patch.

Cloudflare blocca attacco DDoS record da 11,5 Tbps

Cloudflare ha confermato di aver mitigato il più grande attacco DDoS mai registrato, che ha raggiunto i 11,5 terabit al secondo (Tbps) ed è durato circa 35 secondi. L’attacco, inizialmente attribuito a Google Cloud e poi collegato a una combinazione di dispositivi IoT e diversi provider cloud, è stato un UDP flood capace di mettere offline la maggior parte dei servizi web.

Nella stessa comunicazione, Cloudflare ha precisato che i suoi sistemi hanno bloccato automaticamente centinaia di attacchi “iper-volumetrici” nelle ultime settimane, incluso uno da 5,1 miliardi di pacchetti al secondo (Bpps). Per confronto, il precedente record, nel giugno 2025, aveva raggiunto 7,3 Tbps, mentre nell’ottobre 2024 si era fermato a 3,8 Tbps—dimostrando la rapida crescita della scala di questi attacchi.

Cloudflare prevede di pubblicare un rapporto dettagliato, ma ha avvertito che attacchi così massicci, alimentati da botnet che sfruttano infrastrutture cloud, stanno diventando sempre più frequenti.

Hacker tentano furto da 130 milioni di dollari tramite il sistema Pix in Brasile

Evertec ha rivelato che hacker hanno tentato di rubare 130 milioni di dollari dalla sua controllata brasiliana, Sinqia S.A., dopo aver compromesso il suo ambiente sul sistema di pagamenti istantanei Pix. L’incidente è avvenuto il 29 agosto 2025 ed è stato comunicato alla SEC statunitense.

Dopo aver rilevato attività sospette, Sinqia ha interrotto l’elaborazione delle transazioni e coinvolto esperti esterni di cyber forensics. Gli attaccanti, usando credenziali rubate a un fornitore IT, hanno provato a effettuare trasferimenti non autorizzati tra due istituti finanziari. Secondo i media locali, uno degli istituti coinvolti sarebbe HSBC, che però ha chiarito che fondi e dati dei clienti non sono stati toccati.

Evertec ha confermato che parte dei fondi è già stata recuperata, anche se le indagini proseguono. La Banca Centrale del Brasile ha intanto revocato l’accesso di Sinqia a Pix fino a nuove garanzie. Evertec ha avvertito che l’impatto finanziario e reputazionale “potrebbe essere rilevante.”

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.