Britiske giganter ramt af cyberangreb: hvordan Co-op, MandS, JLR-disruption afslører sårbarheder

I 2025 ramte en bølge af cyberangreb med stor indvirkning fremtrædende britiske virksomheder – blandt dem Co-operative Group (Co-op), Marks and Spencer (MandS) og Jaguar Land Rover (JLR) – hvilket forstyrrede driften, afslørede kundedata og udløste store økonomiske tab.

Disse brud afslører nye angrebsstrategier, huller i virksomhedernes forsvar, og hvordan cyberrisici nu kan sprede sig på tværs af forsyningskæder og nationale økonomier.

Hændelserne påvirkede ikke kun balancerne. Co-op-kunder stødte på tomme hylder, MandS-kunder blev låst ude af onlinetjenester i månedsvis, og JLR's fabrikslinjer gik i stå, hvilket truede tusindvis af leverandørjob.

Efterforskere forbandt senere disse sager med hackergrupper, der brugte social engineering og ransomware, hvilket afslørede systemiske svagheder i it-støttesystemer og outsourcing-praksis.

Med tab målt i hundredvis af millioner af pund er disse cyberangreb blevet en stærk påmindelse om, at digitale sårbarheder hurtigt kan sprede sig til realøkonomien og forværre presset i usikre globale tider.

Hvad gik galt: hændelserne og deres konsekvenser

• Co-op (april 2025)

I april afslørede Co-op, at et "ondsindet" cyberangreb tvang det til at lukke dele af sit it-netværk for at begrænse bruddet.

Dette skridt lammede bestillings- og lagersystemer og forårsagede omfattende forstyrrelser på tværs af dets mere end 2.000 britiske fødevarebutikker og 800 begravelsesforretninger.

Virksomheden anslår et omsætningstab på 206 millioner pund i første halvdel af året og et tab på 80 millioner pund i driftsresultatet. Det svingede fra et beskedent overskud til et tab på 50 millioner pund før skat i samme periode.

Desuden bekræftede Co-op senere, at personoplysninger om alle 6,5 millioner medlemmer blev stjålet (navne, adresser, kontaktoplysninger). Finansielle data, sagde de, blev ikke tilgået.

• Marks and Spencer (april-august 2025)

Omkring påsken 2025 blev MandS tvunget til at deaktivere sin onlinebestilling, mobilapp og click-and-collect-tjenester efter et betydeligt ransomware-angreb.

Afbrydelsen varede flere uger – nogle onlinetjenester blev genoprettet i juni, men click-and-collect vendte først tilbage i midten af august.

MandS advarede om, at angrebet kunne reducere dets driftsresultat med omkring 300 millioner pund for året. Det anerkendte, at brugerdata (navne, adresser, e-mails) var blevet tilgået, men sagde, at betalingsoplysninger ikke var kompromitteret.

Britisk politi anholdt fire personer (teenagere og begyndelsen af tyverne) i forbindelse med angrebene på MandS, Co-op og Harrods. De er mistænkt i henhold til love om computermisbrug, afpresning og hvidvaskning af penge.

• Jaguar Land Rover (slutningen af august/september 2025)

JLR meddelte, at en cyberhændelse havde forstyrret dets globale aktiviteter, hurtigt lukket produktionen på dets britiske fabrikker og deaktiveret systemer til reservedelsstyring, køretøjsregistrering, salg og logistik.

Produktionsstoppet forventes at vare mindst indtil 1. oktober, og JLR rapporteres at miste 50 millioner pund om ugen i suspenderede indtægter.

Fordi mange leverandører er afhængige af just-in-time-leveringer, håndterer snesevis af leverandørfirmaer annullerede ordrer, midlertidigt arbejde, afskedigelser og likviditetsstress. Nogle skøn tyder på, at tusindvis af job i bilindustriens forsyningskæde kan være i fare.

Årsager: taktik, grupper og systemsvagheder

Undersøgelser og brancheanalyser tyder på en fælles modus operandi bag disse angreb. Et hackerkollektiv, ofte omtalt som Scattered Spider, er involveret i Co-op- og MandS-bruddene.

Gruppen er kendt for at specialisere sig i social engineering, ofte ved at udgive sig for at være it-personale eller bruge helpdesk-udnyttelser til at få intern adgang.

I MandS-sagen brugte angriberne angiveligt SIM-swapping og helpdesk-efterligning og målrettede tredjepartstjenesteudbydere for at bryde ind i kritiske systemer.

Efter JLR-angrebet påtog en Telegram-kanal, der kaldte sig Scattered Lapsus$ Hunters, ansvaret.

Navnet antyder et samarbejde eller overlap mellem Scattered Spider, Lapsus$ og ShinyHunters-grupperne. Skærmbilleder, der blev lagt ud på den kanal, påstod, at de viste interne JLR-systemer.

En analytiker fortalte Computing , at outsourcing af cybersikkerhed til tjenester som Tata Consultancy Services (TCS) – som var kontraheret af Co-op, MandS og JLR – kunne have skabt et aggregeringsrisikopunkt.

Sådan reagerede virksomhederne

Co-op reagerede hurtigt ved at lukke segmenter af sit it-netværk, genoprette systemer gradvist og arbejde med leverandører for at genstarte leverancer. Dens administrerende direktør undskyldte offentligt og sagde, at hun var "utrolig ked af" hændelsen og dens indvirkning på medlemmerne.

Co-op sagde, at det mangler fuld dækning fra cyberforsikring for backend-tab, hvilket betyder, at det vil absorbere en stor del af omkostningerne selv.

MandS tog sine systemer offline tidligt for at begrænse skader og genindførte derefter tjenester i etaper – først hjemmelevering, senere klik-og-afhent. Det engagerede retshåndhævende myndigheder, samarbejdede med tilsynsmyndigheder og påberåbte sig sin cyberforsikring for at få dækket dele af tabet.

JLR lukkede fabrikker og it-systemer med det samme, bragte cybersikkerhedseksperter ind og arbejdede sammen med den britiske regering og National Cyber Security Centre (NCSC) for at muliggøre en "kontrolleret, trinvis genstart."

JLR begyndte også at genoprette leverandørbetalinger, reservedelslogistiksystemer og kapacitet til registrering af biler for at bevare pengestrømmen.

Ministrene er i forhandlinger om støtteordninger for at hjælpe berørte leverandører, herunder udskudte skatter eller lån – selvom de understreger, at JLR selv skal absorbere primære tab.

Ekspertsynspunkter og systemisk betydning

Cybersikkerhedseksperter advarer om , at de seneste angreb ikke er isolerede, men symptomatiske for et skift i angriberens ambitioner. Rafe Pilling, direktør for Threat Intelligence hos Sophos, sagde:

Martyn Thomas, professor emeritus i IT, kom med en nøgtern advarsel:

I JLR-sammenhæng konkluderede Guardian-analytikere , at hacket afslørede, hvordan "alt er forbundet" i moderne smarte fabrikker – og at kompleksitet i sig selv kan blive en sårbarhed.

Det faktum, at JLR outsourcede kritiske it-systemer, og at TCS-tjenester blev integreret i flere virksomheder, der nu er under angreb, rejser spørgsmål om, hvorvidt centrale afhængighedspunkter bliver overset.

Den bredere betydning af disse begivenheder er klar: Cyberangreb er ikke længere begrænset til at stjæle data eller forstyrre digitale tjenester – de kan stoppe den fysiske produktion, true beskæftigelsen, belaste forsyningskæderne og sprede sig på tværs af regionale økonomier.

I en tid med global usikkerhed – med inflation, pres på forsyningskæden og geopolitiske spændinger – forstærker sådanne brud skrøbeligheden af indbyrdes forbundne systemer.

For britiske virksomheder understreger disse angreb presserende erfaringer: invester i trusselsdetektion og -respons, reducer overdreven afhængighed af enkelte tjenesteudbydere, opbyg redundans og sørg for, at cyberforsikring ikke bare er vinduespynt.

Efterhånden som flere sektorer digitaliseres og forbindes, vokser "angrebsfladen" kun. Hvis højt profilerede virksomheder nu er i fare, kan mindre virksomheder i forsyningskæderne blive endnu mere sårbare.

Kort sagt markerer Co-op-, MandS- og JLR-hændelserne et vendepunkt: Cyberkriminalitet er modnet fra generende hacking til systemisk disruption. Det næste store brud annoncerer sig måske ikke blidt – men de, der forbereder sig, kan stadig afbøde de værste konsekvenser.