UK:s rättshjälpsmyndighet utreder cyberincident mitt i våg av ransomware mot detaljhandeln

Legal Aid Agency (LAA), en del av Storbritanniens justitieministerium, utreder en cyberincident som kan ha exponerat finansiella uppgifter kopplade till rättshjälpsleverantörer. I ett brev till advokatbyråer varnade LAA för att angripare kan ha fått tillgång till betalningsinformation, även om inget dataintrång har bekräftats.

LAA hanterar miljardbelopp i rättshjälpsfinansiering och har avtal med cirka 2 000 leverantörer i England och Wales. National Crime Agency och National Cyber Security Centre bistår i utredningen.

Incidenten inträffar samtidigt som flera brittiska återförsäljare – inklusive Co-op, Harrods och Marks & Spencer – attackerats av ransomwaregruppen DragonForce med Scattered Spider-taktiker.

VPN-åtkomst har begränsats på Co-op och Harrods har infört restriktioner för internetanvändning. Myndigheterna har gått ut med nya rekommendationer och varnat för att dessa attacker bör ses som en väckarklocka för näringslivet.

DDoS-attacker ökar med 358 % under Q1 2025 – Tyskland mest drabbat

Cloudflares rapport för första kvartalet 2025 visar en ökning med 358 % av DDoS-attacker jämfört med föregående år, med 20,5 miljoner registrerade attacker globalt. Tyskland var det mest attackerade landet, följt av Turkiet och Kina. Hongkong var den främsta källan till attackerna.

Över 700 hyper-volymetriska attacker – som överstiger 1 Tbps eller 1 Bpps – blockerades, inklusive en attack som nådde rekordhöga 4,8 Bpps.

Gaming-, telekom- och cybersäkerhetssektorer var särskilt utsatta. Botnät som Mirai stod för många av attackerna, där SYN-floods och DNS-floods dominerade. CLDAP- och ESP-förstärkningsattacker ökade med över 2 000 %.

Trots att media fokuserar på stora attacker var 99 % av Layer 3/4-attackerna och 94 % av HTTP-attackerna små – men fortfarande effektiva. Rapporten understryker behovet av automatiserade skyddsåtgärder.

Phishingkampanj utnyttjar strömavbrott och utger sig för att vara TAP Air Portugal

Efter ett stort strömavbrott i Spanien, Portugal och delar av Europa i slutet av april, lanserade cyberbrottslingar en phishingkampanj som utgav sig för att komma från TAP Air Portugal.

E-postmeddelanden på portugisiska och spanska påstod att mottagarna kunde få ersättning för flygförseningar, men länkarna ledde till falska formulär som samlade in personlig och finansiell information.

Bedrägerierna skickades från komprometterade WordPress-sidor och hänvisade till EU:s passagerarrättigheter.

Cofense Intelligence varnade för att länkarna var phishingförsök.

Rubrikerna varierade mellan “Atualização de compensação” (PT) och “Compensación por su vuelo” (ES). Incidenten visar hur cyberkriminella utnyttjar verkliga kriser för att lura användare.

Myndigheter har uteslutit cyberattack som orsak till elavbrottet, men utredningen pågår. Användare uppmanas att vara extra vaksamma.

West Lothian Council utsatt för misstänkt ransomwareattack mot utbildningsnätverk

West Lothian Council bekräftade den 6 maj att man hanterar en misstänkt ransomwareattack riktad mot utbildningsnätverket.

Utredningen sker i samarbete med Police Scotland, skotska regeringen och externa partner.

Inga bevis finns för att känslig data har exponerats, och kommunens övriga nätverk är inte påverkade.

Reservplaner är aktiverade för att hålla skolorna öppna och säkerställa att nationella prov (SQA) inte påverkas.

Kommunen driver 133 skolor och betonar att undervisningen fortgår med minimala störningar. Utbildningsnätverket är isolerat medan IT-team arbetar med att återställa systemen.

Kommunen tackade externa organisationer för deras snabba stöd.

South African Airways drabbas av cyberattack – inleder utredning

South African Airways (SAA) har bekräftat en allvarlig cyberattack den 3 maj som påverkade webbplats, app och interna system. Åtgärder för återställning vidtogs snabbt och nyckeltjänster återställdes samma dag.

Oberoende digitala experter har anlitats för att utreda omfattningen av intrånget. Enligt SAA utvärderas om någon data exfiltrerats.

Incidenten är en i raden av attacker i Sydafrika – tidigare drabbades mobiloperatörerna MTN och Cell C.

Enligt ESET står Sydafrika för över 40 % av ransomwareattacker och nästan 35 % av infostealerincidenter i Afrika.

SAA har rapporterat händelsen till nationella säkerhetsmyndigheter och understryker sin integritetspolicy och regulatoriska ansvar.

LockBit ransomware drabbas av stort intrång – databas dumpad

LockBit har återigen drabbats av ett slag mot sin infrastruktur. Gruppens mörka webbpannor har hackats och ersatts med meddelandet: “Don’t do crime. CRIME IS BAD xoxo from Prague,” med länk till en MySQL-dump.

Filen innehåller bitcoinadresser, chattloggar mellan gisslan och 75 användarnamn med klartextlösenord som “Weekendlover69” och “Lockbitproud231”.

Totalt 20 databastabeller har läckt, däribland konfigurationer, målföretag och ransomwarebyggnader.

BleepingComputer bekräftade att läckan skedde runt 29 april. Det misstänks att samma aktör låg bakom defacingen av Everest ransomware tidigare.

Händelsen följer Operation Cronos 2024, där stora delar av LockBits infrastruktur togs ner. Den nya incidenten är ytterligare ett slag mot gruppens redan skadade rykte.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.