Storm-1175 utnyttjar allvarlig GoAnywhere mft-sårbarhet i ransomwareattacker

Salesforce har bekräftat att företaget inte kommer att förhandla eller betala någon lösen till de aktörer som ligger bakom storskaliga datastölder riktade mot deras kunder. I ett mejl till kunderna hänvisade företaget till “trovärdig hotinformation” som visar att angriparna planerar att läcka de stulna uppgifterna. Gruppen Scattered Lapsus$ Hunters lanserade en dataläckssajt för att utpressa 39 stora organisationer, inklusive FedEx, Disney, Marriott, Google, Cisco och IKEA, och hävdar att de har nästan en miljard poster. 
De stulna uppgifterna kommer från två kampanjer under 2025. Den första använde social engineering för att lura anställda att koppla skadliga OAuth-appar till Salesforce-instanser. Den andra, i augusti, använde stulna SalesLoft OAuth-token för att exfiltrera CRM-data från hundratals företag, inklusive stora teknikbolag. 
Salesforces vägran kommer samtidigt som utpressningssajten tagits ned, med tecken som tyder på möjlig inblandning från brottsbekämpande myndigheter. Utredningarna fortsätter.

Miljoner i riskzonen när Microsoft avslutar stödet för Windows 10 nästa vecka

Cirka 5 miljoner brittiska datoranvändare står inför ökade cyberrisker när Microsoft avslutar stödet för Windows 10 den 14 oktober, enligt konsumentorganisationen Which?. Av uppskattningsvis 21 miljoner användare i Storbritannien planerar en fjärdedel att fortsätta använda det föråldrade systemet, vilket gör dem sårbara för skadlig kod, virus och bedrägerier. Mer än en tredjedel av dem som inte planerar att agera är över 55 år.
Beslutet kommer också att bidra till ökade mängder e-avfall, eftersom miljontals datorer förväntas bli obrukbara om de inte kan köra nyare programvara. Microsoft uppmanar användare att uppgradera till Windows 11 om möjligt eller köpa en ettårig förlängning för att underlätta övergången.
Yusuf Mehdi, vice vd på Microsoft, varnade för att enheter utan stöd blir mer utsatta för cyberhot och att vissa appar kan sluta fungera korrekt. Användare uppmanas att kontrollera sina system omedelbart för att undvika attacker.

Clop-gruppen utnyttjar Oracle ebs zero-day i datastölder

Ransomwaregruppen Clop har utnyttjat en kritisk zero-day-sårbarhet i Oracle E-Business Suite (EBS) sedan början av augusti, enligt CrowdStrike. Sårbarheten, registrerad som CVE-2025-61882, påverkar BI Publisher Integration-komponenten och gör det möjligt för oautentiserade angripare att köra fjärrkod på sårbara system genom attacker med låg komplexitet som inte kräver användarinteraktion. Oracle släppte en patch under helgen.
Forskare upptäckte att buggen är en del av en sårbarhetskedja som gör det möjligt att uppnå fjärrkodskörning med en enda HTTP-begäran. Exploiten läckte ursprungligen ut online i maj av gruppen Scattered Lapsus$ Hunters.
CrowdStrike bekräftade att Clop har använt denna zero-day för att stjäla känsliga dokument, med den första aktiviteten daterad till 9 augusti. Analytiker tror att GRACEFUL SPIDER sannolikt är involverad, men varnar för att andra grupper också kan utnyttja felet. Utredningar pågår.

Salesforce vägrar betala lösen efter massiva dataintrång

Salesforce har bekräftat att företaget inte kommer att förhandla eller betala någon lösen till de aktörer som ligger bakom storskaliga datastölder riktade mot deras kunder. I ett mejl till kunderna hänvisade företaget till “trovärdig hotinformation” som visar att angriparna planerar att läcka de stulna uppgifterna. Gruppen Scattered Lapsus$ Hunters lanserade en dataläckssajt för att utpressa 39 stora organisationer, inklusive FedEx, Disney, Marriott, Google, Cisco och IKEA, och hävdar att de har nästan en miljard poster.
De stulna uppgifterna kommer från två kampanjer under 2025. Den första använde social ingenjörskonst för att lura anställda att koppla skadliga OAuth-appar till Salesforce-instanser. Den andra, i augusti, använde stulna SalesLoft OAuth-token för att exfiltrera CRM-data från hundratals företag, inklusive stora teknikbolag.
Salesforces vägran kommer samtidigt som utpressningssajten tagits ned, med tecken som tyder på möjlig inblandning från brottsbekämpande myndigheter. Utredningarna fortsätter.

Cyberattacker mot leveranskedjor ökar i takt med stora företagsstörningar

Nästan en tredjedel av företagsledare rapporterar en ökning av cyberattacker mot sina leveranskedjor under de senaste sex månaderna, enligt en undersökning från Chartered Institute of Procurement and Supply (Cips). Cyberhot har snabbt klättrat på listan över prioriteringar för inköpschefer inom tillverknings-, energi- och tekniksektorn, och rivaliserar nu geopolitiska spänningar och tullfrågor som en av de största affärsriskerna. 
Händelser med stor genomslagskraft har belyst hotets allvar. Jaguar Land Rovers en månads långa produktionsstopp efter en cyberattack beräknas ha kostat cirka 120 miljoner pund i förlust medan de senaste intrången hos Marks & Spencer och Co-op lett till förluster på tiotals miljoner. I Japan tvingades Asahi stoppa produktionen i 30 fabriker på grund av ett systemavbrott. 
Cips undersökning visade att 29 % av cheferna rapporterade attacker mot företag i sina leveranskedjor. Organisationen uppmanar företag att stärka sina digitala försvar för att skydda verksamheten och upprätthålla kundernas förtroende i alltmer sammanlänkade globala handelsnätverk. 

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.