M&S bekräftar dataintrång – kundinformation stulen, förluster ökar

Marks & Spencer har bekräftat att personliga kunduppgifter – inklusive telefonnummer, hemadresser, födelsedatum och orderhistorik – stals i den nyligen inträffade cyberattacken. Även om inga betalningsuppgifter eller lösenord komprometterades, uppmanas alla webbplatsanvändare att återställa sina lösenord som en försiktighetsåtgärd.
Attacken, som inträffade för tre veckor sedan, fortsätter att störa verksamheten. Onlinebeställningar är fortfarande avstängda, vilket kostar företaget uppskattningsvis 43 miljoner pund i utebliven försäljning per vecka, enligt Bank of America.
VD Stuart Machin sade att företaget kontaktar berörda kunder och samarbetar med cybersäkerhetsexperter och myndigheter. Även om det inte finns några bevis för att informationen har delats, finns det risk för utpressning eller identitetsbedrägeri.
Co-op, som också drabbades, planerar att återuppta sina tjänster denna vecka.

Microsoft åtgärdar 72 sårbarheter i maj – fem zero-days utnyttjade

Microsofts Patch Tuesday för maj 2025 åtgärdade 72 sårbarheter, inklusive fem aktivt utnyttjade zero-day-sårbarheter och två som redan offentliggjorts. Uppdateringen innehåller sex kritiska sårbarheter, främst fjärrkodexekvering.
Zero-days inkluderar CVE-2025-30400 och CVE-2025-32701, båda tillåter lokalt upphöjda rättigheter till SYSTEM. Andra inkluderar CVE-2025-30397 som påverkar Edge och Internet Explorer.
CVE-2025-26685 (Microsoft Defender) och CVE-2025-32702 (Visual Studio) var offentliggjorda innan.
Microsoft tillskriver flera upptäckter till sitt Threat Intelligence Center samt till externa forskare från Google TAG och CrowdStrike.
Även Apple, Cisco, Fortinet, Google, Intel och SAP släppte viktiga uppdateringar i maj. Organisationer uppmanas att patcha omedelbart.

Cyberattack stoppar stålproduktion hos Nucor på flera platser

Nucor Corporation, USA:s största stålproducent, har avslöjat ett cybersäkerhetsintrång som tvingade delar av dess IT-system offline och tillfälligt avbröt produktionen på flera anläggningar.
Incidenten rapporterades till USA:s finansmyndighet SEC och involverade obehörig åtkomst av en tredje part.
Nucor aktiverade omedelbart sin incidenthanteringsplan, tog system offline och inledde återställningsarbete. Myndigheter informerades och externa cybersäkerhetsexperter engagerades.
Företaget har över 32 000 anställda och rapporterade 7,83 miljarder dollar i intäkter för Q1 2025.
Inga ransomwaregrupper har tagit på sig ansvaret och det är okänt om data stulits eller krypterats.

Scattered Spider utvidgar ransomware-attacker från Storbritannien till USA

Google har varnat för att hotaktörer kända som Scattered Spider (UNC3944) expanderar sina ransomware-operationer till den amerikanska detaljhandeln.
Gruppen, känd för social ingenjörskonst, låg bakom attacker mot M&S, Co-op och Harrods där DragonForce ransomware användes.
Enligt Google riktar Scattered Spider ofta in sig på en bransch i taget, och amerikanska återförsäljare bör vara förberedda.
DragonForce, aktivt sedan slutet av 2023, erbjuder nu ransomware-tjänster till andra kriminella grupper.
NCSC i Storbritannien utreder om attackerna är samordnade. Scattered Spider har tidigare brutit sig in i MGM Resorts, Twilio och Coinbase.

EU lanserar ny sårbarhetsdatabas för att stärka regional cybersäkerhet

ENISA har lanserat European Vulnerability Database (EUVD), en ny central plattform för tillförlitlig information om cybersäkerhetshot.
Databasen, som kompletterar MITRE:s CVE-system, syftar till att förbättra situationsmedvetenhet och minska Europas beroende av icke-EU-källor.
EUVD, ett krav under NIS2-direktivet, utvecklades med MITRE och europeiska CSIRTs. Den innehåller dashboards över kritiska, utnyttjade och EU-samordnade sårbarheter.
Experter välkomnar EUVD, särskilt efter osäkerhet kring finansieringen av CVE-systemet i USA.

Pearson bekräftar cyberattack som exponerade kund- och företagsdata

Den brittiska utbildningsjätten Pearson har bekräftat en stor cyberattack i januari 2025 som exponerade kunddata och intern företagsinformation.
Attacken började med en GitLab-token som fanns i en offentlig .git/config-fil, vilket gav angripare tillgång till utvecklingsmiljön och källkod.
Med hårdkodade uppgifter fick angriparna åtkomst till molntjänster som AWS, Google Cloud, Snowflake och Salesforce. Terabyte av data exfiltrerades under flera månader.
Pearson kallar informationen "till största delen föråldrad" men har inte bekräftat om drabbade kunder kommer att informeras. Företaget har stärkt sina säkerhetsåtgärder och kontaktat myndigheter.
Attacken är kopplad till en tidigare incident hos dotterbolaget PDRI.
Experter betonar riskerna med exponerade Git-konfigurationer i molnmiljöer.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.