Största delen av företag som drabbas av ransomware betalar, ny rapport avslöjar 

En ny rapport från försäkringsbolaget Hiscox visar att 80% av små och medelstora företag (SMF) som drabbats av ransomware under det senaste året betalade sina angripare, även om resultaten ofta var blandade. Av de 5 750 företag som deltog i undersökningen hade 27% upplevt ransomwareincidenter. Trots att de flesta betalade en lösensumma lyckades bara 60% återställa alla eller delar av sina data, och nästan en tredjedel möttes av ytterligare krav. 

Resultaten kommer i kölvattnet av en våg av uppmärksammade cyberattacker mot företag som Marks & Spencer, Co-op och Jaguar Land Rover (JLR). Det sistnämnda företaget tvingades till en månads nedstängning och fick ett statligt lånegaranti på 1,5 miljarder pund för att skydda sin leverantörskedja. Hiscox varnar för att många mindre företag, utan sådana skyddsnät, riskerar sin överlevnad. 

WestJet-läcka exponerar data för 1,2 miljoner passagerare 

Det kanadensiska flygbolaget WestJet har bekräftat att en cyberattack som först avslöjades i juni ledde till stöld av personuppgifter för 1,2 miljoner kunder. Intrånget exponerade känslig information såsom namn, födelsedatum, postadresser, resehandlingar som pass och ID-kort, klagomål inlämnade till bolaget samt uppgifter om lojalitetsprogram. Även om inga kreditkortsnummer, lösenord eller CVV-koder stals, erbjuds drabbade kunder två års gratis identitetsskydd. 

Attacken uppges ha uppstått genom social engineering, där angripare fick tillgång via ett komprometterat anställdslösenord och utnyttjade WestJets Citrix-miljö. Väl inne bröt de sig in i både Windows- och Microsofts molnnätverk. 

Även om incidenten inte officiellt har tillskrivits någon aktör, sammanföll den med en våg av attacker mot flygindustrin kopplade till gruppen Scattered Spider. WestJet uppger att utredningen pågår med stöd av FBI, medan den fulla omfattningen fortfarande utvärderas. 

Phantom Taurus: ny Kina-kopplad spiongrupp riktar in sig på regeringar 

En ny identifierad hackergrupp med kopplingar till Kina, kallad Phantom Taurus, har kopplats till spionagekampanjer mot statliga och telekommunikationsorganisationer i Afrika, Mellanöstern och Asien. Gruppen har varit aktiv i över två år och fokuserar på utrikesdepartement, ambassader och militära operationer, ofta i samband med viktiga geopolitiska händelser. 

Först spårad 2023 som CL-STA-0043 och senare omklassificerad till TGR-STA-0043, har Phantom Taurus nu lyfts fram som en fullskalig hotaktör. Forskare säger att gruppens primära mål är långsiktig underrättelseinhämtning, där de senaste operationerna gått från e-poststöld till direkt databasåtkomst. 

Phantom Taurus använder en specialutvecklad .NET-malwaresvit kallad NET-STAR, som kan infiltrera IIS-servrar genom bakdörrar som kringgår upptäckt och till och med manipulerar loggar för att förvirra analytiker. Gruppen har utnyttjat kända sårbarheter i IIS och Microsoft Exchange, vilket visar på deras anpassningsförmåga och uthållighet inom cyberspionage. 

Harrods avslöjar leverantörsläcka som påverkar 430 000 kunder 

Det brittiska lyxvaruhuset Harrods har bekräftat ett nytt dataintrång efter att hackare komprometterade en tredjepartsleverantör, vilket exponerade 430 000 e-handelskunder. Företaget betonade att incidenten inte är relaterad till det misslyckade försöket i maj av Scattered Spider, som använde DragonForce-ransomware mot flera brittiska återförsäljare. 

Harrods uppgav att namn och kontaktuppgifter till drabbade kunder exponerades, med vissa poster som även innehöll interna marknadsföringstaggar, såsom lojalitetskortsnivåer. Inga betalningsuppgifter, lösenord eller orderhistorik äventyrades. Angriparna ska ha försökt kontakta Harrods direkt, men bolaget vägrade att svara. 

Läckan kan vara kopplad till den bredare Salesloft-leverantörskedjeattacken som drabbat organisationer globalt sedan sensommaren. Harrods har informerat berörda kunder och myndigheter, och uppmanar till vaksamhet mot phishingförsök, samtidigt som utredningen fortsätter. 

OneLogin-sårbarhet exponerade OIDC-hemligheter, nu åtgärdad 

En allvarlig sårbarhet i One Identitys OneLogin IAM-plattform har avslöjats, vilket väckte oro för möjlig exponering av känsliga OpenID Connect (OIDC)-hemligheter. Sårbarheten, identifierad som CVE-2025-59363 med en CVSS-poäng på 7,7, orsakades av en felkonfiguration i ett API-endpoint som returnerade client_secret-värden tillsammans med applikationsmetadata. 

Clutch Security, som upptäckte problemet, varnade för att angripare med giltiga OneLogin API-uppgifter skulle kunna lista alla OIDC-applikationer inom en tenant, hämta deras hemligheter, imitera appar och få åtkomst till integrerade tjänster. Detta skulle ha möjliggjort lateral rörelse inom företagsmiljöer. Risken förvärrades av OneLogins breda API-behörigheter och avsaknaden av IP-begränsningar. 

Felet avslöjades ansvarsfullt den 18 juli och åtgärdades i OneLogin 2025.3.0, som släpptes förra månaden. One Identity säger att det inte finns några bevis för utnyttjande. Forskare betonar att sårbarheter i identitetsleverantörer kan få kaskadeffekter i hela företagsinfrastrukturen. 

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.