Disagi informatici da Marks & Spencer collegati a ‘Scattered Spider’

I disagi informatici in corso presso Marks & Spencer sono stati attribuiti a un attacco ransomware condotto dal noto gruppo di minaccia Scattered Spider. Secondo fonti di BleepingComputer, l’attacco ha criptato macchine virtuali il 24 aprile, bloccando sistemi come i pagamenti contactless e le operazioni di magazzino, costringendo circa 200 dipendenti a rimanere a casa.
Gli aggressori avrebbero violato il rivenditore già a febbraio, sottraendo credenziali Active Directory tramite il file NTDS.dit e diffondendosi nella rete fino a distribuire il ransomware DragonForce.
Scattered Spider, noto anche come Octo Tempest o UNC3944, è un gruppo affiliato noto per phishing, attacchi MFA bombing, SIM swapping e ingegneria sociale avanzata.
M&S ha coinvolto CrowdStrike, Microsoft e Fenix24 per la risposta all’incidente. L’indagine è ancora in corso.

Co-op conferma tentato attacco informatico e blocca sistemi di back office

La catena britannica Co-op ha confermato di aver rilevato tentativi di accesso non autorizzato ai suoi sistemi, portando alla disattivazione preventiva di parte dell'infrastruttura IT. L’incidente ha causato interruzioni ai servizi di back office e ai call center, ma negozi, servizi funebri e piattaforme di consegna online non sono stati colpiti.
“Abbiamo recentemente registrato tentativi di accesso non autorizzato ai nostri sistemi", ha dichiarato un portavoce di Co-op.
L’evento segue l’attacco ransomware a Marks & Spencer della scorsa settimana, attribuito a Scattered Spider, sollevando preoccupazioni sulla sicurezza informatica del settore retail UK.

Nuova campagna malware su WordPress usa plugin finto per prendere il controllo dei siti

Ricercatori di sicurezza hanno scoperto una campagna malware contro siti WordPress tramite un plugin che si finge uno strumento di sicurezza legittimo. Il plugin offre accesso admin persistente, esecuzione di codice remoto e iniezione JavaScript, restando nascosto dal cruscotto dei plugin.
Scoperto a gennaio 2025 durante una pulizia, il malware modifica il file wp-cron.php per installare e riattivare il plugin WP-antymalwary-bot.php. Altri nomi usati includono wpconsole.php e wp-performance-booster.php.
Il plugin consente accesso via login d’emergenza e inietta PHP nei file del tema tramite un’API REST personalizzata. Wordfence sospetta credenziali FTP compromesse come vettore iniziale. Gli amministratori di siti sono invitati a controllare wp-cron.php, header.php e i log di accesso.

SK Telecom vittima di data breach: sostituzione gratuita delle SIM per 23 milioni di utenti

SK Telecom, il più grande operatore mobile della Corea del Sud, ha rivelato una grave violazione dei dati causata da un attacco malware. Il titolo è sceso dell’8,5%, il minimo da agosto 2023.
Il breach, rilevato il 18 aprile, ha causato la perdita di dati dei clienti su larga scala. L’azienda ha annunciato la sostituzione gratuita della USIM card per tutti i 23 milioni di utenti in oltre 2.600 negozi. Inoltre, invita all’uso del servizio USIM Protection.
Circa 5,54 milioni di clienti vi avevano già aderito. Questo incidente solleva nuove preoccupazioni sulla sicurezza delle reti mobili.

MTN segnala data breach con esposizione dei dati clienti in alcuni mercati

MTN Group ha confermato una violazione dei dati a opera di una “terza parte sconosciuta” che ha ottenuto accesso non autorizzato a parte dei suoi sistemi. Il numero esatto degli utenti colpiti non è noto, ma l’azienda ha notificato SAPS, DPCI e le autorità competenti nei Paesi interessati.
MTN ha rassicurato che la rete centrale e i sistemi di fatturazione e servizi finanziari sono sicuri.
Nessun gruppo criminale ha rivendicato l’attacco fino al 25 aprile. L’incidente segue una serie di cyberattacchi nel settore telecomunicazioni sudafricano.

Il Governatore affronta il ransomware all’ospedale JFL mentre le Isole Vergini USA affrontano minacce informatiche

Il governatore Albert Bryan Jr. ha confermato che l’ospedale Juan F. Luis (JFL) sta affrontando un attacco ransomware, definendolo “un’altra crisi”. JFL ha annunciato l’attacco domenica, avviando un’indagine e misure per ridurre i rischi. Nonostante la violazione, i servizi clinici restano pienamente operativi.
L’attacco segue un altro ransomware alla Virgin Islands Lottery (VIL), che ha provocato settimane di disservizi. Gli hacker hanno chiesto un riscatto da 1 milione di dollari, rifiutato dalla direzione VIL.
JFL non ha ancora indicato quanti dati siano stati compromessi ma ha ribadito l’impegno per la privacy dei pazienti. Maggiori dettagli saranno forniti man mano che l’indagine prosegue.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.