Cyberattack mot Jaguar Land Rover väntas bli Storbritanniens dyraste – uppskattas till 1,9 miljarder pund

Cyberattacken mot Jaguar Land Rover (JLR) beräknas kosta 1,9 miljarder pund och blir därmed det ekonomiskt mest skadliga cyberincidenten i Storbritanniens historia, enligt Cyber Monitoring Centre (CMC). Attacken, som inleddes i slutet av augusti, stoppade JLR:s produktion i fem veckor, störde den globala verksamheten och påverkade 5 000 företag i leveranskedjan. Full återhämtning väntas inte förrän i januari 2026.

CMC har klassificerat incidenten som en extern händelse i kategori 3, vilket innebär allvarliga störningar, men inte den mest kritiska nivån. Centret varnar för att attacken bör ses som en väckarklocka för alla organisationer att identifiera och skydda sina kritiska nätverk. Även om JLR inte har bekräftat attackens natur antyder experter att konsekvenserna kan förvärras om den innefattade ransomware eller datadestruktion. CMC:s uppskattning inkluderar förluster för JLR, leverantörer och den lokala ekonomin.

Kinesiska hotaktörer utnyttjar zero-day-sårbarhet i Microsoft SharePoint

Hackare kopplade till Kina har utnyttjat en zero-day-sårbarhet i Microsoft SharePoint, identifierad som CVE-2025-53770, i attacker mot statliga organisationer, utbildning, telekom och finanssektorn över hela världen. Sårbarheten, som påverkar lokala SharePoint-servrar, avslöjades den 20 juli och åtgärdades av Microsoft dagen efter, efter bekräftade rapporter om aktiv exploatering.

Enligt Symantec användes sårbarheten ToolShell för att installera webbsheller som möjliggör ihållande åtkomst, följt av sidoladdning av flera typer av skadlig kod, inklusive Zingdoor, ShadowPad och KrustyLoader, som installerade ramverket Sliver för efterexploatering. Kampanjerna komprometterade organisationer i Mellanöstern, Sydamerika, Afrika, USA och Europa.

Forskare uppger att angriparna använde legitim säkerhetsprogramvara, såsom körbara filer från Trend Micro och BitDefender, för att undvika upptäckt och genomförde stöld av autentiseringsuppgifter med verktyg som ProcDump och Minidump. Attackerna, som tillskrivs kinesiska grupper som Budworm och Violet Typhoon, visar på fortsatt utnyttjande av kritiska affärssystem för spionage och datastöld.

Iransk hotgrupp MuddyWater riktar in sig på MENA-regeringar med bakdörren Phoenix

Den Iran-anknutna hotaktören MuddyWater har inlett en ny cyber¬spionagekampanj riktad mot över 100 statliga och diplomatiska organisationer i Mellanöstern och Nordafrika, enligt en rapport från Group-IB. Genom att använda ett komprometterat e-postkonto, tillgängligt via NordVPN, skickade gruppen nätfiskemejl som verkade vara legitim diplomatisk korrespondens.

Offren lurades att öppna skadliga Word-dokument och aktivera makron, vilket utlöste installationen av bakdörren Phoenix v4 via en laddare kallad FakeUpdate. När den installerats kunde skadeprogrammet samla in systeminformation, upprätthålla ihållande åtkomst och fjärrstyra infekterade system.

Forskare fann att kommandocentralen även hyste verktyg för stöld av inloggningsuppgifter och fjärrövervakning, vilket tyder på omfattande underrättelseverksamhet. MuddyWater, aktiv sedan 2017, tros vara kopplad till Irans ministerium för underrättelse och säkerhet. Kampanjen visar hur gruppen utvecklas genom att kombinera egenutvecklad skadlig kod med legitim programvara för ökad smidighet och uthållighet.

Experian Nederländerna bötfälls med 2,7 miljoner euro för GDPR-överträdelser

Experian Nederländerna har bötfällts med 2,7 miljoner euro (£2,3 miljoner) av den nederländska dataskyddsmyndigheten (AP) för brott mot EU:s allmänna dataskyddsförordning (GDPR). Myndigheten fann att kreditupplysningsföretaget olagligt samlade in personuppgifter från flera offentliga och privata källor, inklusive telekom- och energibolag, utan att informera eller inhämta samtycke från individer.

AP:s undersökning inleddes efter klagomål från personer som drabbats av högre depositioner och räntor kopplade till Experians dolda kreditkontroller. Regulatorn drog slutsatsen att Experian byggde upp en omfattande databas över miljontals nederländska medborgare utan att kunna motivera varför informationen behövdes.

Experian har erkänt sitt fel och kommer inte att överklaga beslutet. Företaget har upphört med sin verksamhet i Nederländerna och har lovat att radera all lagrad personlig information före slutet av 2025. AP:s beslut understryker det ökande regeltrycket på kreditupplysningsföretag att följa GDPR:s transparenskrav.

Hackare utnyttjar sårbarheten ’SessionReaper’ i Adobe Commerce i massiva attacker

Hackare utnyttjar aktivt den kritiska sårbarheten SessionReaper (CVE-2025-54236) i Adobe Commerce, med hundratals attackförsök redan registrerade. Forskare beskriver den som en av de allvarligaste säkerhetsbristerna i plattformens historia.

SessionReaper gör det möjligt för angripare att kapa kundkonton via Adobe Commerces REST API utan någon användarinteraktion. Trots att Adobe släppte en akut säkerhetsuppdatering den 8 september rapporterar forskare att cirka 62 % av Magento-baserade butiker fortfarande inte har uppdaterats. Mer än 250 försök till exploatering har upptäckts på en enda dag, främst från fem kända IP-adresser.

De flesta attacker hittills har använt PHP-webbsheller eller undersökt systemkonfigurationer. Experter varnar för att nyligen publicerade tekniska analyser kan leda till fler attacker. Administratörer uppmanas att omedelbart installera Adobes säkerhetsuppdatering eller rekommenderade skyddsåtgärder för att förhindra kontokapning och dataintrång.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.