Brytyjscy giganci dotknięci cyberatakami: jak zakłócenia w trybie Co-op, MandS, JLR ujawniają luki w zabezpieczeniach

W 2025 r. fala cyberataków o dużym wpływie dotknęła czołowe brytyjskie firmy – w tym Co-operative Group (Co-op), Marks and Spencer (MandS) i Jaguar Land Rover (JLR) – zakłócając działalność, ujawniając dane klientów i powodując duże straty finansowe.

Naruszenia te ujawniają pojawiające się strategie ataków, luki w zabezpieczeniach korporacyjnych oraz sposób, w jaki ryzyko cybernetyczne może teraz wpływać na łańcuchy dostaw i gospodarki krajowe.

Incydenty odbiły się nie tylko na bilansach. Klienci korzystający ze spółdzielni napotkali puste półki, klienci MandS zostali odcięci od usług online na wiele miesięcy, a linie produkcyjne JLR zostały zatrzymane, co zagroziło tysiącom miejsc pracy dla dostawców.

Śledczy powiązali później te przypadki z grupami hakerskimi wykorzystującymi socjotechnikę i oprogramowanie ransomware, ujawniając systemowe słabości systemów wsparcia IT i praktyk outsourcingowych.

Ze stratami mierzonymi w setkach milionów funtów, te cyberataki stały się wyraźnym przypomnieniem, że luki w zabezpieczeniach cyfrowych mogą szybko rozlać się na realną gospodarkę, zwiększając presję w niepewnych czasach globalnych.

Co poszło nie tak: incydenty i ich skutki

• Kooperacja (kwiecień 2025 r.)

W kwietniu Co-op ujawnił, że "złośliwy" cyberatak zmusił go do zamknięcia części sieci IT w celu powstrzymania naruszenia.

To posunięcie sparaliżowało systemy zamówień i magazynowania, powodując powszechne zakłócenia w ponad 2000 brytyjskich sklepach spożywczych i 800 domach pogrzebowych.

Firma szacuje utratę przychodów w wysokości 206 milionów funtów w pierwszej połowie roku i spadek zysku operacyjnego w wysokości 80 milionów funtów. W tym samym okresie przesunął się ze skromnego zysku do 50 milionów funtów straty przed opodatkowaniem.

Co więcej, Co-op potwierdził później, że dane osobowe wszystkich 6,5 miliona członków zostały skradzione (nazwiska, adresy, dane kontaktowe). Powiedzieli, że nie uzyskano dostępu do danych finansowych.

• Marks and Spencer (kwiecień–sierpień 2025)

W okolicach Wielkanocy 2025 roku MandS został zmuszony do wyłączenia zamówień online, aplikacji mobilnej i usług typu "kliknij i odbierz" po poważnym ataku ransomware.

Zakłócenie trwało kilka tygodni – niektóre usługi online zostały przywrócone w czerwcu, ale usługa "kliknij i odbierz" powróciła dopiero w połowie sierpnia.

MandS ostrzegł, że atak może zmniejszyć jego zysk operacyjny o około 300 milionów funtów w ciągu roku. Przyznał, że uzyskano dostęp do danych użytkowników (nazwiska, adresy, e-maile), ale powiedział, że szczegóły płatności nie zostały naruszone.

Brytyjska policja aresztowała cztery osoby (nastolatki i dwudziestolatki) w związku z atakami na MandS, Co-op i Harrodsa. Są podejrzani na podstawie przepisów dotyczących nadużyć komputerowych, szantażu i prania brudnych pieniędzy.

• Jaguar Land Rover (koniec sierpnia / wrzesień 2025)

Grupa JLR ogłosiła, że incydent cybernetyczny zakłócił jej globalną działalność, szybko zamykając produkcję w fabrykach w Wielkiej Brytanii i wyłączając systemy zarządzania częściami, rejestracji pojazdów, sprzedaży i logistyki.

Oczekuje się, że wstrzymanie produkcji potrwa co najmniej do 1 października, a według doniesień JLR traci 50 milionów funtów tygodniowo z powodu zawieszonych przychodów.

Ponieważ wielu dostawców polega na dostawach just-in-time, dziesiątki firm dostawców zmagają się z anulowanymi zamówieniami, wstrzymanymi pracami, zwolnieniami i presją związaną z przepływami pieniężnymi. Niektóre szacunki sugerują, że zagrożone mogą być tysiące miejsc pracy w łańcuchu dostaw w branży motoryzacyjnej.

Przyczyny: taktyka, grupy i słabości systemu

Dochodzenia i analizy branżowe sugerują, że za tymi atakami stoi wspólny modus operandi. Kolektyw hakerski, często określany jako Scattered Spider, jest zamieszany w włamania do Co-op i MandS.

Grupa jest znana ze specjalizacji w inżynierii społecznej, często podszywając się pod personel IT lub wykorzystując exploity helpdesku w celu uzyskania wewnętrznego dostępu.

W przypadku MandS atakujący podobno wykorzystali zamianę kart SIM i podszywanie się pod helpdesk, atakując zewnętrznych dostawców usług w celu naruszenia krytycznych systemów.

Po ataku JLR do odpowiedzialności przyznał się kanał Telegram nazywający siebie Scattered Lapsus$ Hunters.

Nazwa sugeruje współpracę lub nakładanie się grup Scattered Spider, Lapsus$ i ShinyHunters. Zrzuty ekranu zamieszczone na tym kanale rzekomo pokazywały wewnętrzne systemy JLR.

Jeden z analityków powiedział Computing , że outsourcing cyberbezpieczeństwa do usług takich jak Tata Consultancy Services (TCS) – który został zakontraktowany przez Co-op, MandS i JLR – mógł stworzyć punkt agregacji ryzyka.

Jak zareagowały firmy

Firma Co-op zareagowała błyskawicznie, zamykając segmenty swojej sieci IT, stopniowo przywracając systemy i współpracując z dostawcami w celu wznowienia dostaw. Jej dyrektor generalna publicznie przeprosiła, mówiąc, że jest jej "niesamowicie przykro" z powodu incydentu i jego wpływu na członków.

Co-op twierdzi, że nie ma pełnego pokrycia z ubezpieczenia cybernetycznego na wypadek strat na zapleczu, co oznacza, że sam pochłonie znaczną część kosztów.

Firma MandS wcześnie wyłączyła swoje systemy, aby ograniczyć szkody, a następnie ponownie wprowadziła usługi etapami — najpierw dostawa do domu, a później kliknij i odbierz. Firma zaangażowała organy ścigania, współpracowała z organami regulacyjnymi i powołała się na swoją polisę ubezpieczenia cybernetycznego, aby odzyskać część strat.

JLR natychmiast zamknęła fabryki i systemy IT, sprowadziła ekspertów ds. cyberbezpieczeństwa i współpracowała z rządem Wielkiej Brytanii i Narodowym Centrum Bezpieczeństwa Cybernetycznego (NCSC), aby umożliwić "kontrolowane, stopniowe ponowne uruchomienie".

Grupa JLR rozpoczęła również przywracanie płatności dla dostawców, systemów logistyki części zamiennych i zdolności do rejestracji samochodów w celu zachowania przepływów pieniężnych.

Ministrowie prowadzą rozmowy na temat programów wsparcia, które mają pomóc dostawcom dotkniętym kryzysem, w tym odroczonych podatków lub pożyczek, choć podkreślają, że sama grupa JLR musi pokryć straty pierwotne.

Opinie ekspertów i znaczenie systemowe

Eksperci ds. cyberbezpieczeństwa ostrzegają , że ostatnie ataki nie są odosobnione, ale symptomatyczne dla zmiany ambicji atakujących. Rafe Pilling, dyrektor ds. analizy zagrożeń w firmie Sophos, powiedział:

Martyn Thomas, emerytowany profesor informatyki, zaoferował otrzeźwiającą przestrogę:

W kontekście JLR analitycy Guardiana doszli do wniosku , że włamanie ujawniło, w jaki sposób "wszystko jest połączone" w nowoczesnych inteligentnych fabrykach – i że złożoność sama w sobie może stać się luką w zabezpieczeniach.

Fakt, że grupa JLR zleciła na zewnątrz krytyczne systemy informatyczne oraz że usługi TCS zostały zintegrowane z wieloma atakowanymi obecnie przedsiębiorstwami, rodzi pytania o to, czy nie pomija się centralnych punktów zależności.

Szersze znaczenie tych wydarzeń jest oczywiste: cyberataki nie ograniczają się już do kradzieży danych lub zakłócania usług cyfrowych – mogą wstrzymać fizyczną produkcję, zagrozić zatrudnieniu, nadwyrężyć łańcuchy dostaw i odbić się na gospodarkach regionalnych.

W czasach globalnej niepewności – z inflacją, presją w łańcuchu dostaw i napięciami geopolitycznymi – takie naruszenia wzmacniają kruchość wzajemnie powiązanych systemów.

Dla brytyjskich firm ataki te podkreślają pilne lekcje: zainwestuj w wykrywanie zagrożeń i reagowanie na nie, zmniejsz nadmierną zależność od pojedynczych dostawców usług, zbuduj redundancję i upewnij się, że ubezpieczenia cybernetyczne nie są tylko mydleniem oczu.

W miarę jak coraz więcej sektorów digitalizuje się i łączy, "powierzchnia ataku" tylko rośnie. Jeśli znane firmy są teraz zagrożone, mniejsze firmy w łańcuchach dostaw mogą stać się jeszcze bardziej podatne na zagrożenia.

Krótko mówiąc, incydenty związane z Co-op, MandS i JLR stanowią punkt zwrotny: cyberprzestępczość dojrzała z uciążliwego hakowania do zakłóceń systemowych. Kolejny duży wyłom może nie ogłosić się łagodnie, ale ci, którzy się przygotują, mogą jeszcze złagodzić jego najgorsze konsekwencje.