Brittiskt livsmedelslogistikföretag Peter Green Chilled utsatt för ransomwareattack

Peter Green Chilled, ett logistikföretag för kylda livsmedel baserat i Somerset som levererar till stora brittiska stormarknader som Tesco, Asda, Sainsbury’s och M&S, har utsatts för en ransomwareattack. Händelsen avslöjades i ett internt mejl som BBC tagit del av och inträffade förra veckan. Även om transportverksamheten inte påverkades har orderhanteringen stoppats. Det är oklart om någon lösensumma begärdes eller betalades.

Företagets roll i distributionen av lättfördärvliga livsmedel väcker oro för allvarliga driftstörningar – liknande attacker inom vård och tillverkning där angripare utnyttjar brådskan snarare än att fokusera på datastöld.

Företag i leveranskedjan, som Peter Green, är allt oftare måltavlor på grund av sitt beroende av just-in-time-leveranser. Attacken följer på liknande incidenter hos Co-op, Harrods och M&S, där den sistnämnda förutser förluster på 300 miljoner pund till följd av långvariga störningar online.

Detaljhandeln förblir en högrisksektor – 45 % drabbades av ransomware under förra året.

Dataintrång hos brittiska Legal Aid Agency värre än befarat – känslig information stulen

Storbritanniens Legal Aid Agency (LAA) har bekräftat att ett nyligen rapporterat cyberintrång tidigare denna månad var allvarligare än först antaget. Hackare har stulit stora mängder känslig information från rättshjälpssökande, med data som sträcker sig tillbaka till 2010. Myndigheten, som tillhör Justitiedepartementet, hjälper människor som inte har råd med juridisk representation.

Ett första meddelande i början av maj tonade ned intrånget och angav att den ekonomiska risken var begränsad. Men en uppdatering från regeringen den 16 maj avslöjade att kontaktuppgifter, födelsedatum, försäkringsnummer, brottsregister och skuldrelaterad information laddats ned av angripare.

LAA har tagit sina digitala tjänster offline och arbetar tillsammans med Storbritanniens National Cyber Security Centre för att säkra systemen. Sökande uppmanas att vara vaksamma mot bedrägerier.

Intrånget sker i en våg av attacker mot brittiska institutioner, inklusive återförsäljare som M&S och Co-op, vilket väcker frågor om kopplingar till gruppen Scattered Spider.

Falska Facebook-annonser imiterar Kling AI för att sprida skadlig kod

Cybersäkerhetsexperter har avslöjat en kampanj där falska Facebook-sidor och sponsrade annonser används för att imitera Kling AI och lura användare att ladda ned skadlig kod. Kling AI lanserades 2024 av kinesiska Kuaishou Technology och är en plattform för text-till-video/bild med över 22 miljoner användare.

Enligt Check Point leder angriparna användare till förfalskade webbplatser som klingaimedia[.]com, där AI-genererat innehåll utlovas. Istället laddar besökarna ovetandes ned skadlig kod förklädd som bilder eller videor. Koden, dold i ZIP-filer med vilseledande filnamn, installerar ett fjärråtkomsttrojan (RAT) och en datastjälare som riktar in sig på webbläsarinloggningar och kryptoplånböcker.

I ett andra steg används PureHVNC för att upprätthålla närvaro, undvika upptäckt och stjäla känslig information. Minst 70 falska annonser har upptäckts, troligen med ursprung i Vietnam – ett land där malvertising är en känd metod.

Detta belyser ökade hot från social ingenjörskonst och AI-baserade bedrägerier. Meta bekämpar utbrett fusk på Facebook och Instagram, inklusive falska utlottningar och jobberbjudanden kopplade till människohandel.

Hazy Hawk kapar betrodda subdomäner för att sprida bedrägerier

En hotaktör som kallas ’Hazy Hawk’ utnyttjar bortglömda DNS CNAME-poster som pekar mot övergivna molntjänster för att kapa subdomäner tillhörande regeringar, universitet och Fortune 500-företag, enligt forskare.

Genom att registrera nya molnresurser med samma namn som i de övergivna CNAME-posterna kan Hazy Hawk ta kontroll över subdomäner och använda dem för att vara värd för bedrägerier, falska appar och skadlig reklam. Bland de drabbade domänerna finns cdc.gov, honeywell.com, berkeley.edu, unicef.org och nyu.edu.

De kapade subdomänerna används för att skapa hundratals falska webbadresser, som tack vare domänens förtroende får höga placeringar i sökresultat. Besökare omdirigeras genom flera lager av trafikhanteringssystem (TDS), vilket profilerar användarna innan de hamnar på tekniska supportsvindlerier, nätfiskesidor eller falska streamingtjänster.

Användare som tillåter pushnotiser kan fortsätta få bedrägliga varningar långt efter att de lämnat sidan. Experter varnar för att ouppmärksammade CNAME-poster är en underskattad men farlig attackvektor.

Manipulerad KeePass-installation distribuerar Cobalt Strike och ransomware

Hotaktörer har under minst åtta månader spridit en skadlig version av lösenordshanteraren KeePass för att infektera system med Cobalt Strike-beacons och stjäla användaruppgifter. Enligt forskare började kampanjen med falska KeePass-webbplatser som annonserades via Bing, där användare omedvetet laddade ned ett manipulerat installationsprogram kallat KeeLoader.

KeeLoader fungerar som den legitima KeePass, men exporterar i hemlighet användarens lösenordsdatabas i klartext och installerar ett Cobalt Strike-beacon. Vattenstämpeln i beaconen kopplar kampanjen till initiala åtkomstmäklare med koppling till Black Basta-ransomwaregruppen.

Hotaktörerna använde även domäner med stavfel, som keeppaswrd[.]com och keegass[.]com, för att sprida den skadliga koden. Vissa falska installationsprogram var till och med signerade med giltiga certifikat.

Kampanjen kulminerade i ransomwareattacker mot VMware ESXi-servrar. WithSecure tillskriver aktiviteten till aktören UNC4696, som tidigare kopplats till Nitrogen Loader och BlackCat/ALPHV-kampanjer.

Användare uppmanas att undvika att ladda ned program via annonser och endast använda officiella källor.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.