Cyberattack drabbar NHS-truster via Ivanti-sårbarhet – patientdata kan ha äventyrats

Flera NHS-truster, inklusive University College London Hospitals och University Hospital Southampton, har drabbats av en cyberattack som utnyttjat en sårbarhet i programvaran Ivanti Endpoint Manager Mobile (EPMM). Intrånget upptäcktes och åtgärdades den 15 maj, men kan ha möjliggjort obehörig åtkomst till mycket känslig patientdata via fjärrkodsexekvering (RCE).

Cybersäkerhetsexperter som identifierade omfattningen av incidenten kopplar attacken till hotaktörer med bas i Kina. De varnar för att attackens påverkan sträcker sig bortom datastöld, med risk för störningar i bokningssystem och medicinteknisk utrustning.

Stulen data inkluderar telefonnummer till personal, IMEI-nummer och autentiseringstoken – information som kan användas för att få djupare åtkomst till NHS-nätverk.

NHS England och Storbritanniens National Cyber Security Centre (NCSC) utreder händelsen. NHS England har ett system med högprioriterade varningar och övervakning dygnet runt, men detta intrång är ytterligare en allvarlig väckarklocka.

Adidas dataintrång avslöjar kontaktuppgifter efter attack mot kundtjänst

Adidas har bekräftat en cyberattack där personuppgifter från kunder stals via en tredjepartsleverantör av kundtjänst. Intrånget avslöjade “viss konsumentdata”, främst kontaktuppgifter till personer som haft kontakt med Adidas supportkanaler. Inga lösenord, kreditkorts- eller betaluppgifter komprometterades enligt företaget.

Adidas agerade snabbt för att begränsa incidenten och inledde en intern utredning tillsammans med cybersäkerhetsexperter. Myndigheter och berörda kunder informeras i enlighet med gällande lagar.

Konsumentorganisationen Which? uppmanade Adidas att ge tydlig och snabb information till drabbade. Kunder bör hålla koll på sina konton och kreditupplysningar och vara vaksamma mot nätfiske, falska samtal och bedrägliga meddelanden.

Till skillnad från cyberattackerna mot M&S, Co-op och Harrods, påverkade denna incident inte Adidas kärnverksamhet, men följer en växande trend av attacker mot globala återförsäljare. Adidas bekräftade tidigare dataintrång i Turkiet och Sydkorea.

Tjeckien anklagar Kina för cyberattack mot utrikesdepartementet – ambassadören kallas in

Tjeckiska regeringen har offentligt anklagat Kina för en statsstödd cyberattack som infiltrerade utrikesdepartementet och exponerade tusentals oklassificerade e-postmeddelanden. Attacken, som tillskrivs den kinesiska gruppen APT31, möjliggjorde tillgång till diplomatiska kommunikationer mellan tjeckiska ambassader och EU-institutioner under 2022, då Tjeckien innehade EU:s ordförandeskap.

Utrikesminister Jan Lipavský fördömde intrånget och kallade omedelbart in Kinas ambassadör. “Vi måste försvara oss mot cyberattacker, propaganda och informationsmanipulation,” sa Lipavský.

Detta är första gången Tjeckien formellt tillskriver en cyberattack till en främmande stat. Utredningen involverade underrättelsetjänsterna och cybersäkerhetsmyndigheten NUKIB.

APT31 är kopplat till Kinas ministerium för statssäkerhet och har tidigare anklagats för att rikta in sig på amerikanska valkampanjer. Attacken har väckt skarp kritik från NATO och EU.

Ransomwaregrupp påstår cyberattack mot Mediclinic – hotar att läcka anställdas data

Ransomwaregruppen Everest har tagit på sig ansvaret för en cyberattack mot Mediclinic, en global privat vårdgivare verksam i Sydafrika, Namibia, Schweiz och Förenade Arabemiraten. Gruppen hävdar att de stulit 4 GB interna dokument och personuppgifter från cirka 1 000 anställda, och hotar att offentliggöra materialet om inte en lösensumma betalas inom fem dagar.

Mediclinic har ännu inte kommenterat påståendet. Attackens fulla omfattning är oklar, men experter varnar för att läckt information kan användas för identitetsstöld och nätfiske.

Everest är aktiv sedan 2021 och kopplas till det Ryssland-länkade BlackByte-kartellen. Gruppen har tidigare attackerat Coca-Cola och AT&T och har enligt Cybernews stått bakom 248 intrång sedan 2023.

Nigeria och Sydafrika ser ökning av hot online under Q1 2025

En ny rapport visar att Nigeria och Sydafrika hör till de fem mest drabbade länderna i regionen Mellanöstern, Turkiet och Afrika (META) när det gäller webbhot under första kvartalet 2025. 17,5 % av användarna i Nigeria och liknande andel i Sydafrika drabbades av webbaserade hot.

Rapporten lyfter fram växande risker från ransomware, avancerade hotaktörer (APT), kedjebrott i leveranskedjor och sårbarheter i mobilteknik – förstärkta av AI och IoT.

Trots att Afrika har färre ransomware-attacker än Mellanöstern, gör den digitala expansionen i Nigeria och Sydafrika samt låg medvetenhet om cybersäkerhet dem till allt mer attraktiva mål. Grupper som FunkSec använder AI-genererad kod och Ransomware-as-a-Service (RaaS) för att genomföra massiva och sofistikerade attacker.

Rekommendationen är att implementera försvar i flera lager, uppdatera system och utbilda personal med aktuell hotinformation.

Ransomware mot industrin ökar kraftigt under första kvartalet 2025

Antalet ransomwareattacker mot industriella verksamheter ökade till 708 under Q1 2025, enligt en ny analys. Även om inga nya varianter som specifikt riktar sig mot industriella kontrollsystem (ICS) identifierades, använde angripare en kombination av ihållande och nya metoder, vilket försvårade upptäckt och åtgärd.

Bland teknikerna fanns AI-drivet skadeprogram från gruppen FunkSec, utpressning utan kryptering och statsstödda kampanjer som Moonstone Sleets användning av Qilin ransomware. Verktyg som RansomHubs EDRKillshifter visade avancerad endpoint-evasion.

När IT- och OT-miljöer integreras alltmer ökar attackernas påverkan – som produktionsstörningar hos National Presto Industries. Babuk Locker bidrog med falska intrångspåståenden, vilket försvårade respons.

Integrity360:s nyligen lanserade OT-säkerhetstjänster hjälper dig att skydda dina industriella verksamheter, öka motståndskraften och uppfylla efterlevnadskrav i ett alltmer hotfyllt landskap.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.