USA:s justitiedepartement tillsammans med andra myndigheter beslagtar fyra domäner som stöder krypteringstjänster för cyberbrott i global operation

Den 27 maj 2025 beslagtog USA:s justitiedepartement tillsammans med nederländska och finska myndigheter domänerna AvCheck[.]net, Cryptor[.]biz, Cryptor[.]live och Crypt[.]guru samt deras tillhörande servrar – alla kopplade till tjänster som hjälpte cyberbrottslingar undvika säkerhetsprogram.
Frankrike, Tyskland, Danmark, Portugal och Ukraina deltog också, och detta skedde parallellt med en multinationell brottsbekämpningsinsats. Syftet var att slå ut onlinebaserad infrastruktur som stöder cyberbrottslighet.
FBI-agent Douglas Williams: "Genom att utnyttja antivirusmotverkande tjänster förfinar hotaktörer sina metoder för att undvika upptäckt och sabotera system globalt."

Under de senaste åren har multinationella myndigheter sammarbetat för att slå ut cyberkriminella verksamheter som LockBit2.0 och Black Basta samt dolda servrar med botnät och andra cyberbrotttjänster.

FBI:  Play-ransomware har drabbat 900 offer, inklusive kritiska verksamheter

Enligt FBI, CISA och ASD’s ACSC har cirka 900 organisationer blivit angripna av ransomwaregruppen Play fram till maj 2025. Varje attack använde omkompilerad skadlig kod för att undvika upptäckt,
vissa av offren kontaktades även direkt med utpressningshot om att läcka stulen data på nätet om lösen ej betalas. CISA har publicerat uppdaterade indikatorer och tekniker för att stötta försvar mot gruppen. Under 2024 var ransomwaregruppen Play bland de mest aktiva, de använder en dubbel utpressningsmetod och brukar instruera offer att ta kontakt med hotaktörerna via e-post. 

CISA lägger till ConnectWise-sårbarhet (CVE-2025-3935) i katalogen över exploaterade sårbarheter 

Sårbarheten i ScreenConnect möjliggör fjärrkörning av kod. ConnectWise har misstankar om statsstödda angripare efter misstänkt aktivitet i deras miljöer. Ett begränsat antal kunder har påverkats och en säkerhetspatch har släppts.
Sårbarheten kan användas för ViewState-injektion om angriparen har tillgång till maskinnycklar.

ConnectWise har kontaktat berörda kunder.

Cartier, Victoria Secret och North Face utsatta för cyberattacker 

Cartier har bekräftat att begränsad kunddata läckt vid en incident. Den stulna datan ska inte innehålla känslig information som lösenord, kreditkortsnummer eller annan bankinformation. Cartier har varit I kontakt med sina kunder och uppmanat till vaksamhet mot oönskad kommunikation. North Face utsattes för en credential stuffing-attack där e-post, lösenord och personuppgifter exponerades.
Dessa attacker kopplas till grupperna DragonForce och Scattered Spider som riktar sig mot detaljhandeln globalt. Attackerna följer en ökande trend med hot globala återförsäljare. 

Interlock Ransomware gang behind Kettering Health Data breach, gang claims alleged 941GB of Data

Den 20 maj 2025 drabbades Kettering Health av ett avbrott efter en ransomware-attack. Interlock-gruppen tog på sig ansvaret och publicerade känslig data, inklusive patientjournaler, löneuppgifter och bankdokument.
Organisationen har påbörjat återställning av EHR-systemen. Interlock är en ny aktör som fokuserar på dubbel utpressning och stora mål.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.