Marks & Spencer cyberstörning kopplad till ‘Scattered Spider’

Marks & Spencer har drabbats av en pågående cyberstörning som nu har kopplats till en ransomware-attack från den ökända hotaktören Scattered Spider. Enligt källor till BleepingComputer krypterade angriparna virtuella maskiner den 24 april, vilket slog ut system som kontaktlösa betalningar och lagerdrift — cirka 200 anställda uppmanades att stanna hemma.
Attacken tros ha börjat redan i februari då angriparna stal autentiseringsuppgifter från Active Directory via NTDS.dit-filen. Därefter spreds de genom nätverket och installerade DragonForce-ransomware på VMware ESXi-värdar.
Scattered Spider, även känd som Octo Tempest eller UNC3944, är en löst sammansatt grupp som använder phishing, MFA-bombning, SIM-kapningar och avancerad social ingenjörskonst. M&S har tagit in CrowdStrike, Microsoft och Fenix24 för incidenthantering. Utredningen pågår, och M&S har inte kommenterat ytterligare detaljer.

Co-op bekräftar cyberattackförsök som störde backoffice-system

Den brittiska dagligvarukedjan Co-op har bekräftat att den nyligen upptäckt försök till obehörig åtkomst, vilket ledde till att delar av IT-systemen stängdes ner som försiktighetsåtgärd. Händelsen påverkade kontorsdrift och callcenter, men butiker, begravningstjänster och onlineleveranser fungerade som vanligt.
Ingen grupp har ännu tagit på sig ansvaret. Händelsen inträffade kort efter ransomwareattacken mot Marks & Spencer — vilket väcker oro över ökande hot mot brittisk detaljhandel.

Ny WordPress-skadlig kod använder falskt säkerhetsplugin för att kapa webbplatser

Forskare har avslöjat en skadlig kampanj riktad mot WordPress-sajter där ett falskt plugin utger sig för att vara ett säkerhetsverktyg. Det ger angripare adminbehörighet, fjärrkodskörning och JavaScript-injektioner — samtidigt som det döljer sig i pluginpanelen.
Det upptäcktes i januari 2025 via en ändrad wp-cron.php-fil som installerar WP-antymalwary-bot.php och återskapas automatiskt om det tas bort. Namn som används inkluderar addons.php och wp-performance-booster.php. Wordfence misstänker infektion via komprometterad hosting eller FTP. Webbplatsägare uppmanas granska sina wp-cron.php, header.php och loggar för misstänkt åtkomst.

SK Telecom utsatt för dataintrång – 23 miljoner användare erbjuds gratis SIM-kort

Sydkoreas största mobiloperatör, SK Telecom, har avslöjat ett omfattande dataintrång orsakat av skadlig kod. Aktien föll med upp till 8,5 %. Händelsen upptäcktes den 18 april och beskrivs som ett stort dataläckage av kundinformation.
Som svar erbjuder SK Telecom gratis byte av USIM-kort till alla sina 23 miljoner användare. Cirka 5,5 miljoner har redan registrerat sig för skyddstjänsten.

MTN bekräftar dataintrång som påverkar kunder i utvalda marknader

Telekomjätten MTN bekräftar ett dataintrång som involverar en ”okänd tredje part” som fått tillgång till delar av systemet, vilket lett till att kundinformation exponerats i vissa marknader. Exakt antal drabbade är inte känt. Kärninfrastruktur som faktureringssystem och finansiella tjänster sägs inte ha påverkats. Händelsen har rapporterats till polisen i Sydafrika och andra berörda länder. Inget cyberkriminellt nätverk har tagit på sig ansvaret ännu.

Guvernör bekräftar ransomwareattack mot JFL-sjukhus – cyberhot växer i Amerikanska Jungfruöarna

Guvernör Albert Bryan Jr. bekräftade i måndags att sjukhuset Juan F. Luis Hospital (JFL) utsatts för en ransomwareattack. Trots intrånget försäkrar sjukhuset att vårdtjänsterna fungerar som vanligt.
Attacken inträffade kort efter att lotteriverksamheten Virgin Islands Lottery (VIL) återhämtat sig från en separat ransomwareattack där angripare krävde en miljon dollar. VIL vägrade betala och byggde om hela sitt system från grunden.
JFL har ännu inte avslöjat hur mycket data som exponerats, men betonar sitt åtagande kring datasäkerhet.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.