Brittiska jättar drabbas av cyberattacker: hur Co-op, MandS, JLR-störningar exponerar sårbarheter

Under 2025 drabbades framstående brittiska företag – bland annat Co-operative Group (Co-op ), Marks and Spencer (MandS) och Jaguar Land Rover (JLR) av en rad cyberattacker med stor genomslagskraft – vilket störde verksamheten, exponerade kunddata och utlöste stora ekonomiska förluster.

Dessa intrång avslöjar nya attackstrategier, luckor i företagens försvar och hur cyberrisker nu kan sprida sig över leveranskedjor och nationella ekonomier.

Incidenterna påverkade inte bara balansräkningarna. Ägarkunder möttes av tomma hyllor, MandS-kunder stängdes ute från onlinetjänster i månader och JLR:s fabrikslinjer stannade upp, vilket hotade tusentals leverantörsjobb.

Utredarna kopplade senare dessa fall till hackergrupper som använde social ingenjörskonst och utpressningstrojaner, vilket avslöjade systematiska svagheter i IT-stödsystem och outsourcingmetoder.

Med förluster som mäts i hundratals miljoner pund har dessa cyberattacker blivit en skarp påminnelse om att digitala sårbarheter snabbt kan spilla över i den reala ekonomin, vilket ökar trycket i osäkra globala tider.

Vad som gick fel: incidenterna och deras konsekvenser

• Co-op (april 2025)

I april avslöjade Co-op att en "skadlig" cyberattack tvingade företaget att stänga av delar av sitt IT-nätverk för att begränsa intrånget.

Det draget lamslog beställnings- och lagersystemen, vilket orsakade omfattande störningar i de mer än 2 000 livsmedelsbutikerna i Storbritannien och 800 begravningsbyråer.

Företaget räknar med en intäktsförlust på 206 miljoner pund under första halvåret och en minskning av rörelseresultatet med 80 miljoner pund. Det svängde från en blygsam vinst till en förlust på 50 miljoner pund före skatt under samma period.

Dessutom bekräftade Co-op senare att personuppgifter om alla 6,5 miljoner medlemmar hade stulits (namn, adresser, kontaktuppgifter). Finansiella uppgifter, sa de, hade inte nåtts.

• Marks and Spencer (april–augusti 2025)

Runt påsk 2025 tvingades MandS inaktivera sina onlinebeställnings-, mobilapp- och click-and-collect-tjänster efter en betydande ransomware-attack.

Avbrottet varade i flera veckor – vissa onlinetjänster återställdes i juni, men click-and-collect återkom först i mitten av augusti.

MandS varnade för att attacken kan minska rörelseresultatet med cirka 300 miljoner pund för året. Företaget bekräftade att användaruppgifter (namn, adresser, e-postadresser) hade nåtts, men sa att betalningsuppgifterna inte hade äventyrats.

Brittisk polis grep fyra personer (tonåringar och tidiga tjugoårsåldern) i samband med attackerna mot MandS, Co-op och Harrods. De misstänks enligt lagar som omfattar datormissbruk, utpressning och penningtvätt.

• Jaguar Land Rover (slutet av augusti / september 2025)

JLR meddelade att en cyberincident hade stört företagets globala verksamhet, vilket snabbt ledde till att produktionen vid deras brittiska fabriker stängdes av och att system för reservdelshantering, fordonsregistrering, försäljning och logistik inaktiverades.

Produktionsstoppet förväntas pågå åtminstone till den 1 oktober och JLR rapporteras förlora 50 miljoner pund per vecka i uppskjutna intäkter.

Eftersom många leverantörer är beroende av just-in-time-leveranser måste dussintals leverantörsföretag hantera annullerade beställningar, pausat arbete, uppsägningar och stressade kassaflöden. Vissa uppskattningar tyder på att tusentals jobb i fordonsindustrins leveranskedja kan vara i fara.

Orsaker: taktik, grupper och svagheter i systemet

Undersökningar och branschanalyser tyder på att det finns ett gemensamt tillvägagångssätt bakom dessa attacker. Ett hackerkollektiv, ofta kallat Scattered Spider, är inblandat i Co-op- och MandS-intrången.

Gruppen är känd för att specialisera sig på social ingenjörskonst och utger sig ofta för att vara IT-personal eller använder helpdesk-exploateringar för att få intern åtkomst.

I MandS-fallet ska angriparna ha använt SIM-byte och helpdesk-imitation, vilket riktade in sig på tredjepartsleverantörer för att bryta sig in i kritiska system.

Efter JLR-attacken tog en Telegram-kanal som kallar sig Scattered Lapsus$ Hunters på sig ansvaret.

Namnet antyder ett samarbete eller en överlappning mellan grupperna Scattered Spider, Lapsus$ och ShinyHunters. Skärmdumpar som publicerades på den kanalen påstods visa interna JLR-system.

En analytiker berättade för Computing att outsourcing av cybersäkerhet till tjänster som Tata Consultancy Services (TCS) – som kontrakterades av Co-op, MandS och JLR – kan ha skapat en aggregeringspunkt.

Så här reagerade företagen

Co-op reagerade snabbt genom att stänga ner delar av sitt IT-nätverk, återställa system gradvis och arbeta med leverantörer för att återuppta leveranserna. Dess VD bad offentligt om ursäkt och sa att hon var "otroligt ledsen" för händelsen och dess inverkan på medlemmarna.

Co-op sa att de saknar full täckning från cyberförsäkring för backend-förluster, vilket innebär att de kommer att absorbera mycket av kostnaden själva.

MandS tog tidigt sina system offline för att begränsa skadorna och återinförde sedan tjänster i etapper – först hemleverans, senare click-and-collect. Företaget anlitade brottsbekämpande myndigheter, samarbetade med tillsynsmyndigheter och åberopade sin cyberförsäkring för att få tillbaka delar av förlusten.

JLR stängde omedelbart ner fabriker och IT-system, tog in cybersäkerhetsexperter och samarbetade med den brittiska regeringen och National Cyber Security Centre (NCSC) för att möjliggöra en "kontrollerad, stegvis omstart".

JLR började också återställa leverantörsbetalningar, logistiksystem för reservdelar och kapacitet för registrering av bilar för att bevara kassaflödet.

Ministrarna för samtal om stödprogram för att hjälpa drabbade leverantörer, inklusive uppskjutna skatter eller lån – även om de betonar att JLR själv måste absorbera primära förluster.

Expertutlåtanden och systemviktighet

Cybersäkerhetsexperter varnar för att de senaste attackerna inte är isolerade utan symptom på en förändring i angriparenas ambitioner. Rafe Pilling, chef för Threat Intelligence på Sophos, sa:

Martyn Thomas, professor emeritus i IT, kom med en allvarlig varning:

I JLR-sammanhang drog Guardians analytiker slutsatsen att hacket avslöjade hur "allt hänger ihop" i moderna smarta fabriker – och att komplexiteten i sig kan bli en sårbarhet.

Det faktum att JLR outsourcade kritiska IT-system och att TCS-tjänster integrerades i flera företag som nu är under attack, väcker frågor om huruvida centrala beroendepunkter förbises.

Den bredare betydelsen av dessa händelser är tydlig: cyberattacker är inte längre begränsade till att stjäla data eller störa digitala tjänster – de kan stoppa fysisk produktion, hota sysselsättningen, anstränga leveranskedjorna och sprida sig över regionala ekonomier.

I en tid av global osäkerhet – med inflation, tryck i leveranskedjan och geopolitiska spänningar – förstärker sådana intrång bräckligheten i sammanlänkade system.

För brittiska företag understryker dessa attacker brådskande lärdomar: investera i hotdetektering och respons, minska överberoendet av enskilda tjänsteleverantörer, bygg redundans och se till att cyberförsäkringar inte bara är ett spel för gallerierna.

I takt med att fler sektorer digitaliseras och kopplas samman växer bara "attackytan". Om högprofilerade företag nu är i riskzonen kan mindre företag i leveranskedjorna bli ännu mer sårbara.

Kort sagt markerar Co-op-, MandS- och JLR-incidenterna en vändpunkt: cyberbrottslighet har mognat från störande hackning till systemstörningar. Nästa stora intrång kanske inte tillkännager sig själv på ett vänligt sätt – men de som förbereder sig kan ändå mildra de värsta konsekvenserna.