Britse reuzen getroffen door cyberaanvallen: hoe Co-op, MandS, JLR-verstoring kwetsbaarheden blootleggen

In 2025 trof een golf van cyberaanvallen met grote impact prominente Britse bedrijven - waaronder Co-operative Group (Co-op), Marks and Spencer (MandS) en Jaguar Land Rover (JLR) - waardoor de activiteiten werden verstoord, klantgegevens werden blootgelegd en zware financiële verliezen werden veroorzaakt.

Deze inbreuken onthullen opkomende aanvalsstrategieën, hiaten in de verdediging van bedrijven en hoe cyberrisico's nu kunnen rimpelen in toeleveringsketens en nationale economieën.

De incidenten hadden niet alleen gevolgen voor de balansen. Klanten van Co-op stuitten op lege schappen, MandS-shoppers werden maandenlang buitengesloten van online diensten en de fabriekslijnen van JLR kwamen tot stilstand, waardoor duizenden banen in de leverancier werden bedreigd.

Onderzoekers koppelden deze gevallen later aan hackersgroepen die gebruik maakten van social engineering en ransomware, waardoor systemische zwakheden in IT-ondersteuningssystemen en outsourcingpraktijken aan het licht kwamen.

Met verliezen die in de honderden miljoenen ponden lopen, zijn deze cyberaanvallen een grimmige herinnering geworden dat digitale kwetsbaarheden snel kunnen overslaan naar de reële economie, waardoor de druk in onzekere mondiale tijden toeneemt.

Wat ging er mis: de incidenten en hun gevolgen

• Coöp (april 2025)

In april maakte Co-op bekend dat een "kwaadaardige" cyberaanval het dwong delen van zijn IT-netwerk af te sluiten om de inbreuk in te dammen.

Die stap verlamde bestel- en voorraadsystemen en veroorzaakte wijdverbreide verstoring in de meer dan 2.000 Britse voedingswinkels en 800 uitvaartcentra.

Het bedrijf schat een omzetverlies van £ 206 miljoen in de eerste helft van het jaar en een daling van £ 80 miljoen voor de bedrijfswinst. Het schommelde in dezelfde periode van een bescheiden winst naar een verlies vóór belastingen van £ 50 miljoen.

Bovendien bevestigde Co-op later dat persoonlijke gegevens van alle 6,5 miljoen leden waren gestolen (namen, adressen, contactgegevens). Financiële gegevens, zeiden ze, werden niet geopend.

• Marks en Spencer (april-augustus 2025)

Rond Pasen 2025 werd MandS gedwongen om zijn online bestellen, mobiele app en click-and-collect-diensten uit te schakelen na een aanzienlijke ransomware-aanval.

De storing duurde meerdere weken: sommige online services werden in juni hersteld, maar click-and-collect keerde pas half augustus terug.

MandS waarschuwde dat de aanval de bedrijfswinst voor het jaar met ongeveer £ 300 miljoen zou kunnen verminderen. Het erkende dat gebruikersgegevens (namen, adressen, e-mails) waren geopend, maar zei dat betalingsgegevens niet waren gecompromitteerd.

De Britse politie arresteerde vier personen (tieners en begin twintig) in verband met de aanslagen op MandS, Co-op en Harrods. Ze worden verdacht op grond van wetten met betrekking tot computermisbruik, chantage en het witwassen van geld.

• Jaguar Land Rover (eind augustus / september 2025)

JLR kondigde aan dat een cyberincident zijn wereldwijde activiteiten had verstoord, waardoor de productie in zijn Britse fabrieken snel werd stilgelegd en systemen voor onderdelenbeheer, voertuigregistratie, verkoop en logistiek werden uitgeschakeld.

De productiestop zal naar verwachting ten minste tot 1 oktober duren en JLR verliest naar verluidt £ 50 miljoen per week aan opgeschorte inkomsten.

Omdat veel leveranciers afhankelijk zijn van just-in-time leveringen, hebben tientallen leveranciers te maken met geannuleerde bestellingen, onderbroken werk, ontslagen en cashflowstress. Sommige schattingen suggereren dat duizenden banen in de toeleveringsketen van de auto-industrie in gevaar kunnen komen.

Oorzaken: tactieken, groepen en zwakke punten in het systeem

Onderzoeken en analyse van de industrie suggereren een gedeelde modus operandi achter deze aanvallen. Een hackerscollectief, vaak aangeduid als Scattered Spider, is betrokken bij de Co-op- en MandS-inbreuken.

Het is bekend dat de groep gespecialiseerd is in social engineering, waarbij ze zich vaak voordoen als IT-personeel of gebruik maken van helpdesk-exploits om interne toegang te krijgen.

In de MandS-zaak gebruikten de aanvallers naar verluidt SIM-swapping en imitatie van de helpdesk, gericht op externe serviceproviders om kritieke systemen te doorbreken.

Na de JLR-aanval eiste een Telegram-kanaal dat zichzelf Scattered Lapsus$ Hunters noemde de verantwoordelijkheid op.

De naam suggereert een samenwerking of overlap tussen de groepen Scattered Spider, Lapsus$ en ShinyHunters. Screenshots die op dat kanaal werden geplaatst, beweerden interne JLR-systemen te tonen.

Een analist vertelde Computing dat het uitbesteden van cyberbeveiliging aan diensten zoals Tata Consultancy Services (TCS) - dat werd gecontracteerd door Co-op, MandS en JLR - mogelijk een aggregatiepunt van risico heeft gecreëerd.

Hoe de bedrijven reageerden

Co-op reageerde snel door segmenten van zijn IT-netwerk af te sluiten, systemen geleidelijk te herstellen en samen te werken met leveranciers om de leveringen opnieuw op te starten. De CEO verontschuldigde zich publiekelijk en zei dat ze "ongelooflijk spijt" had van het incident en de impact ervan op de leden.

Co-op zei dat het geen volledige dekking heeft van cyberverzekeringen voor backend-verliezen, wat betekent dat het een groot deel van de kosten zelf zal absorberen.

MandS haalde zijn systemen vroegtijdig offline om de schade te beperken en introduceerde vervolgens de diensten gefaseerd: eerst thuisbezorging, later click-and-collect. Het schakelde wetshandhavers in, werkte samen met toezichthouders en beriep zich op zijn cyberverzekeringspolis om een deel van het verlies te verhalen.

JLR sloot fabrieken en IT-systemen onmiddellijk, schakelde cybersecurity-experts in en werkte samen met de Britse regering en het National Cyber Security Centre (NCSC) om een "gecontroleerde, gefaseerde herstart" mogelijk te maken.

JLR begon ook met het herstellen van leveranciersbetalingen, logistieke systemen voor onderdelen en de capaciteit voor het registreren van auto's om de cashflow te behouden.

De ministers zijn in gesprek over steunregelingen om getroffen leveranciers te helpen, waaronder uitgestelde belastingen of leningen, hoewel ze benadrukken dat JLR zelf primaire verliezen moet opvangen.

Meningen van experts en systemische betekenis

Cybersecurity-experts waarschuwen dat de recente aanvallen niet op zichzelf staan, maar symptomatisch zijn voor een verschuiving in de ambitie van aanvallers. Rafe Pilling, Director of Threat Intelligence bij Sophos, zei:

Martyn Thomas, emeritus hoogleraar IT, bood een ontnuchterende waarschuwing:

In de context van JLR concludeerden analisten van Guardian dat de hack onthulde hoe "alles met elkaar verbonden is" in moderne slimme fabrieken - en dat complexiteit zelf een kwetsbaarheid kan worden.

Het feit dat JLR kritieke IT-systemen heeft uitbesteed en dat TCS-services zijn geïntegreerd in meerdere bedrijven die nu worden aangevallen, roept vragen op over de vraag of centrale punten van afhankelijkheid over het hoofd worden gezien.

De bredere betekenis van deze gebeurtenissen is duidelijk: cyberaanvallen zijn niet langer beperkt tot het stelen van gegevens of het verstoren van digitale diensten - ze kunnen de fysieke productie tot stilstand brengen, de werkgelegenheid bedreigen, toeleveringsketens onder druk zetten en door regionale economieën rimpelen.

In een tijd van wereldwijde onzekerheid - met inflatie, druk op de toeleveringsketen en geopolitieke spanningen - versterken dergelijke inbreuken de kwetsbaarheid van onderling verbonden systemen.

Voor Britse bedrijven onderstrepen deze aanvallen dringende lessen: investeer in het detecteren van en reageren op bedreigingen, verminder de overmatige afhankelijkheid van één serviceprovider, bouw redundantie op en zorg ervoor dat cyberverzekeringen niet alleen maar windowdressing zijn.

Naarmate meer sectoren digitaliseren en met elkaar in verbinding staan, wordt het "aanvalsoppervlak" alleen maar groter. Als spraakmakende bedrijven nu gevaar lopen, kunnen kleinere bedrijven in toeleveringsketens nog kwetsbaarder worden.

Kortom, de incidenten in Co-op, MandS en JLR markeren een keerpunt: cybercriminaliteit is uitgegroeid van hinderlijk hacken tot systemische ontwrichting. De volgende grote doorbraak kondigt zich misschien niet zachtjes, maar degenen die zich voorbereiden, kunnen de ergste gevolgen nog verzachten.