Hackare kopplade till M&S-intrånget tar på sig cyberattacken mot Jaguar Land Rover

Jaguar Land Rover (JLR), Storbritanniens största biltillverkare, har bekräftat en allvarlig cyberattack som denna vecka tvingade företaget att stoppa produktionen vid flera nyckelanläggningar. Avbrottet, som påverkade både tillverknings- och retailsystem, har tillskrivits en Telegram-kanal kopplad till de engelskspråkiga hackergrupperna Scattered Spider, Lapsus$ och ShinyHunters. Kanalen publicerade skärmbilder som påstås visa JLR:s interna IT-system tillsammans med mediebevakning av incidenten.

JLR uppgav att det inte finns några bevis för att kunddata har äventyrats men meddelade att man stängde ner systemen proaktivt för att begränsa påverkan. Leverantörer uppges ha drabbats hårt, med potentiella förluster på tiotals miljoner pund på grund av stoppade produktionslinjer. Attacken är den senaste i en rad uppmärksammade incidenter som involverar Scattered Spider, som även har riktat in sig på M&S, Co-op och Harrods. Brittiska myndigheter utreder, och National Crime Agency har bekräftat att de följer situationen noga.

Workiva drabbas av Salesforce-relaterat dataintrång

Molnbaserade SaaS-leverantören Workiva har bekräftat att angripare fick tillgång till ett tredjeparts CRM-system och stal begränsad kunddata. Intrånget exponerade affärskontaktinformation som namn, e-postadresser, telefonnummer och innehåll i supportärenden.

Workiva, vars plattform används för finansiell rapportering, efterlevnad och revisioner, har 6 305 kunder och täcker 85 % av Fortune 500-företagen, inklusive Google, Delta, T-Mobile och Santander. Företaget betonade att dess egen plattform och de data som lagras där inte har komprometterats. Drabbade kunder har uppmanats att vara vaksamma mot potentiella spear-phishingförsök.

Incidenten är kopplad till en bredare våg av Salesforce-intrång som tillskrivs utpressningsgruppen ShinyHunters. Genom metoder som vishing och stulna OAuth-tokens har gruppen infiltrerat Salesforce-instanser hos företag som Cloudflare, Google, Cisco, Adidas och Zscaler. Workiva påminde kunder om att all kommunikation sker enbart via dess officiella supportkanaler.

Hackare utnyttjar HexStrike-AI för att exploatera Citrix-sårbarheter

Check Point Research varnar för att hackare i allt högre grad använder HexStrike-AI, ett AI-drivet open source-ramverk för offensiv säkerhet, för att utnyttja nyligen avslöjade Citrix-sårbarheter. Verktyget, ursprungligen skapat för red teaming, använder AI-agenter som självständigt kan köra över 150 cybersäkerhetsverktyg för penetrationstester och sårbarhetsanalys.

Sedan publiceringen på GitHub förra månaden, där projektet redan fått 1 800 stjärnor och över 400 forks, har HexStrike-AI fått stor spridning på dark web-forum. Hotaktörer ska ha använt det för att snabbt exploatera brister i Citrix NetScaler ADC och Gateway (CVE-2025-7775, CVE-2025-7776, CVE-2025-8424), vilket möjliggjorde fjärrkörning av kod och installation av webbshells. Vissa komprometterade enheter säljs redan vidare.

Enligt ShadowServer är nästan 8 000 endpoints fortfarande exponerade för CVE-2025-7775. Check Point varnar för att AI-driven automatisering kan minska tiden för exploatering från dagar till minuter, vilket ger administratörer ännu mindre tid för patchning.

Cloudflare blockerar rekordstark DDoS-attack på 11,5 Tbps

Cloudflare har bekräftat att man stoppade den största distribuerade överbelastningsattacken (DDoS) som hittills registrerats. Attacken nådde en topp på 11,5 terabit per sekund (Tbps) och varade i cirka 35 sekunder. Den spårades först till Google Cloud men kopplades senare till en kombination av IoT-enheter och flera molnleverantörer. Attacken var en UDP-flod som hade kunnat slå ut de flesta onlinetjänster.

I samma meddelande uppgav Cloudflare att man automatiskt blockerat hundratals “hyper-volymetriska” attacker de senaste veckorna, varav en nådde 5,1 miljarder paket per sekund (Bpps). Som jämförelse nådde företagets tidigare rekord i juni 2025 7,3 Tbps, medan oktober 2024 låg på 3,8 Tbps—vilket visar den snabbt ökande omfattningen av dessa attacker.

Cloudflare planerar att publicera en detaljerad rapport men varnar för att massiva attacker av denna typ, drivna av botnät som utnyttjar molninfrastruktur, blir allt vanligare.

Hackare försöker stjäla 130 miljoner dollar via Brasiliens Pix-system

Evertec har avslöjat att hackare försökte stjäla 130 miljoner dollar från dess brasilianska dotterbolag Sinqia S.A. genom att bryta sig in i företagets miljö på landets realtidsbetalningssystem Pix. Incidenten inträffade den 29 augusti 2025 och rapporterades till den amerikanska finansinspektionen SEC.

När misstänkt aktivitet upptäcktes stoppade Sinqia omedelbart transaktionshanteringen och tog in externa cybersäkerhetsexperter. Angriparna använde stulna inloggningsuppgifter från en IT-leverantör för att försöka genomföra obehöriga överföringar mellan två finansiella institutioner. Lokala medier nämnde HSBC, men banken betonade att inga kundmedel eller kunddata påverkades.

Evertec har bekräftat att en del av pengarna redan har återfunnits, men utredningen pågår fortfarande. Även om inga personuppgifter verkar ha läckt har Brasiliens centralbank tillfälligt återkallat Sinqias åtkomst till Pix tills ytterligare garantier lämnats. Evertec varnade för att den ekonomiska och ryktemässiga påverkan “kan bli betydande.”

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.