Britiske giganter rammet av cyberangrep: hvordan Co-op, MandS, JLR-forstyrrelser avslører sårbarheter

I 2025 rammet en rekke kraftige cyberangrep fremtredende britiske selskaper – Co-operative Group (Co-op), and Spencer (MandS) og Jaguar Land Rover (JLR) blant dem – som forstyrret driften, avslørte kundedata og utløste store økonomiske tap.

Disse bruddene avslører nye angrepsstrategier, hull i bedriftenes forsvar og hvordan cyberrisiko nå kan spre seg på tvers av forsyningskjeder og nasjonale økonomier.

Hendelsene påvirket ikke bare balansen. Co-op-kunder møtte tomme hyller, MandS-kunder ble utestengt fra nettjenester i flere måneder, og JLRs fabrikklinjer stoppet opp, og truet tusenvis av leverandørjobber.

Etterforskere knyttet senere disse sakene til hackergrupper som bruker sosial manipulering og løsepengevirus, og avslørte systemiske svakheter i IT-støttesystemer og outsourcing-praksis.

Med tap målt i hundrevis av millioner pund, har disse cyberangrepene blitt en sterk påminnelse om at digitale sårbarheter raskt kan smitte over i realøkonomien, og forverre presset i usikre globale tider.

Hva gikk galt: hendelsene og deres konsekvenser

• Co-op (april 2025)

I april avslørte Co-op at et "ondsinnet" nettangrep tvang dem til å stenge deler av IT-nettverket for å begrense bruddet.

Dette trekket lammet bestillings- og lagersystemer, og forårsaket omfattende forstyrrelser på tvers av de mer enn 2,000 britiske matbutikkene og 800 begravelsesbyråene.

Selskapet anslår et inntektstap på 206 millioner pund i første halvår, og et tap på 80 millioner pund i driftsresultatet. Det svingte fra et beskjedent overskudd til et tap på 50 millioner pund før skatt i samme periode.

Videre bekreftet Co-op senere at personopplysninger om alle 6,5 millioner medlemmer ble stjålet (navn, adresser, kontaktinformasjon). Økonomiske data, sa de, ble ikke tilgjengelig.

• og Spencer (april–august 2025)

Rundt påsken 2025 ble MandS tvunget til å deaktivere sin nettbestilling, mobilapp og klikk-og-hent-tjenester etter et betydelig løsepengevirusangrep.

Forstyrrelsen varte i flere uker – noen nettjenester ble gjenopprettet i juni, men klikk-og-hent kom først tilbake i midten av august.

MandS advarte om at angrepet kan redusere driftsresultatet med rundt 300 millioner pund for året. Den erkjente at brukerdata (navn, adresser, e-poster) hadde blitt åpnet, men sa at betalingsdetaljer ikke ble kompromittert.

Britisk politi arresterte fire personer (tenåringer og tidlig i tjueårene) i forbindelse med angrepene på MandS, Co-op og Harrods. De er mistenkt i henhold til lover som dekker datamisbruk, utpressing og hvitvasking av penger.

• Jaguar Land Rover (slutten av august / september 2025)

JLR kunngjorde at en cyberhendelse hadde forstyrret den globale virksomheten, og raskt stengt ned produksjonen ved fabrikkene i Storbritannia og deaktivert systemer for deleadministrasjon, kjøretøyregistrering, salg og logistikk.

Produksjonsstansen forventes å vare minst til 1 oktober, og JLR rapporteres å tape 50 millioner pund per uke i suspenderte inntekter.

Fordi mange leverandører er avhengige av just-in-time-leveranser, takler dusinvis av leverandørfirmaer kansellerte bestillinger, satt arbeid på pause, permitteringer og kontantstrømstress. Noen estimater tyder på at tusenvis av arbeidsplasser i bilforsyningskjeden kan være i faresonen.

Årsaker: taktikk, grupper og systemsvakheter

Undersøkelser og bransjeanalyser antyder en felles modus operandi bak disse angrepene. Et hackerkollektiv, ofte referert til som Scattered Spider, er involvert i Co-op- og MandS-bruddene.

Gruppen er kjent for å spesialisere seg på sosial manipulering, og utgir seg ofte for å være IT-ansatte eller bruker helpdesk-utnyttelser for å få intern tilgang.

I MandS-saken skal angriperne ha brukt SIM-bytte og helpdesk-etterligning, rettet mot tredjeparts tjenesteleverandører for å bryte seg inn i kritiske systemer.

Etter JLR-angrepet tok en Telegram-kanal som kalte seg Scattered Lapsus$ Hunters på seg ansvaret.

Navnet antyder et samarbeid eller overlapping mellom Scattered Spider-, Lapsus$- og ShinyHunters-gruppene. Skjermbilder lagt ut på den kanalen påsto å vise interne JLR-systemer.

En analytiker fortalte Computing at outsourcing av cybersikkerhet til tjenester som Tata Consultancy Services (TCS) – som ble kontrahert av Co-op, MandS og JLR – kan ha skapt et aggregeringspunkt.

Slik reagerte selskapene

Co-op reagerte raskt ved å stenge deler av IT-nettverket, gjenopprette systemer gradvis og samarbeide med leverandører for å starte leveransene på nytt. Administrerende direktør ba offentlig om unnskyldning og sa at hun var «utrolig lei seg» for hendelsen og dens innvirkning på medlemmene.

Co-op sa at det mangler full dekning fra cyberforsikring for backend-tap, noe som betyr at det vil absorbere mye av kostnadene selv.

MandS tok systemene sine offline tidlig for å begrense skadene og gjeninnførte deretter tjenester i etapper – først hjemlevering, senere klikk-og-hent. Den engasjerte rettshåndhevelse, samarbeidet med regulatorer og påkalte sin cyberforsikring for å gjenopprette deler av tapet.

JLR stengte fabrikker og IT-systemer umiddelbart, hentet inn cybersikkerhetseksperter og jobbet med den britiske regjeringen og National Cyber Security Centre (NCSC) for å muliggjøre en «kontrollert, trinnvis omstart».

JLR begynte også å gjenopprette leverandørbetalinger, delelogistikksystemer og kapasitet for registrering av biler for å bevare kontantstrømmen.

Ministre er i samtaler om støtteordninger for å hjelpe berørte leverandører, inkludert utsatte skatter eller lån – selv om de understreker at JLR selv må absorbere primære tap.

Ekspertsynspunkter og systemisk betydning

Cybersikkerhetseksperter advarer om at de nylige angrepene ikke er isolerte, men symptomatiske for et skifte i angriperens ambisjoner. Rafe Pilling, direktør for trusseletterretning hos Sophos, sa:

Martyn Thomas, professor emeritus i IT, kom med en nøktern advarsel:

I JLR-sammenheng konkluderte Guardian-analytikere med at hacket avslørte hvordan «alt henger sammen» i moderne smarte fabrikker – og at kompleksitet i seg selv kan bli en sårbarhet.

Det faktum at JLR outsourcet kritiske IT-systemer, og at TCS-tjenester ble integrert i flere selskaper som nå er under angrep, reiser spørsmål om sentrale avhengighetspunkter blir oversett.

Den bredere betydningen av disse hendelsene er klar: Cyberangrep er ikke lenger begrenset til å stjele data eller forstyrre digitale tjenester – de kan stoppe fysisk produksjon, true sysselsetting, belaste forsyningskjeder og kruse på tvers av regionale økonomier.

I en tid med global usikkerhet – med inflasjon, forsyningskjedepress og geopolitiske spenninger – forsterker slike brudd skjørheten til sammenkoblede systemer.

For britiske firmaer understreker disse angrepene presserende lærdommer: invester i trusseldeteksjon og respons, reduser overdreven avhengighet av enkelttjenesteleverandører, bygg redundans og sørg for at cyberforsikring ikke bare er vinduspynt.

Etter hvert som flere sektorer digitaliseres og kobles sammen, vokser «angrepsflaten» bare. Hvis høyprofilerte bedrifter nå er i faresonen, kan mindre bedrifter i leverandørkjedene bli enda mer sårbare.

Kort sagt, Co-op-, MandS- og JLR-hendelsene markerer et vendepunkt: nettkriminalitet har modnet utover plagsom hacking til systemisk forstyrrelse. Det neste store bruddet kunngjør seg kanskje ikke forsiktig – men de som forbereder seg kan likevel dempe de verste konsekvensene.