A brit Kibermegfigyelő Központ (Cyber Monitoring Centre – CMC) rendszerszintű, 2-es kategóriájú eseményként sorolta be azt a kibertámadást, amely 2025 áprilisában jelentős fennakadást okozott az M&S és a Co-op működésében.
A CMC most először közölt nyilvános értékelést egy kibertámadás pénzügyi hatásairól az Egyesült Királyságban. A központ becslése szerint a zsarolóvírusos támadás 270–440 millió font közötti veszteséget okozott az érintett vállalatoknak és partnereiknek.
Az eseményt, amely üzleti műveletek megszakadását és ügyféladatok kiszivárgását eredményezte, a CMC a brit kiberellenálló képesség megerősítése érdekében végzett rendszeres értékelési tevékenysége keretében vizsgálta. Mivel mindkét támadás mögött azonos elkövető állhatott, az időzítés és az alkalmazott módszerek is egyeztek, a központ ezeket egyetlen, összevont kibereseményként kezelte. Az olyan hasonló, de kevésbé dokumentált eseteket – például a Harrodsot és más brit kereskedelmi láncokat érintő támadásokat – nem vonták be az értékelésbe.
A legsúlyosabb hatások az M&S-t érték
A CMC elemzése szerint az M&S volt az esemény legnagyobb vesztese, köszönhetően digitális értékesítési fókuszának, sajátmárkás termékmodelljének és összetett logisztikai rendszerének. A Co-opnál ugyan szintén érzékelhető volt az incidens hatása, ám az inkább helyi szinten jelentkezett, és kevésbé érintette az üzletmenet egészét.
Az eset „szűk, de mély” hatással járt – két nagyvállalat működésében okozott komoly fennakadást, amely továbbgyűrűzött a beszállítókra, szolgáltatókra és üzleti partnerekre is. Ez éles ellentétben áll az úgynevezett „széles, de sekély” eseményekkel, mint például a tavalyi CrowdStrike incidens, amely ugyan sok céget érintett, de egyenként kisebb károkat okozott.
„Még nem tapasztaltunk az Egyesült Királyságban olyan rendszerszintű, mély és széles hatású eseményt, amely 4-es vagy 5-ös kategóriába esett volna. Ha a támadás több vállalatra vagy ágazatra terjedt volna ki, magasabb besorolást kapott volna. Mivel azonban az érintettség két fő cégre és azok közvetlen kapcsolataira korlátozódott, az esemény a súlyossági skála alsó szegmensébe került” – áll a CMC értékelésében.
Üzletmenet megszakadása vitte a kár jelentős részét
Mindkét vállalat adatvesztést, működési fennakadást és jelentős informatikai újraépítési költségeket szenvedett el, de a legnagyobb kárt az üzletmenet megszakadása okozta. A CMC szerint bár a közvetlen veszteség túlnyomórészt az M&S-nél és a Co-opnál csapódott le, az elemzés figyelembe vette az ellátási lánc szereplőit is.
Az elkövető azonosítása még folyamatban van, de a jelenlegi jelek alapján ugyanaz a támadó csoport lehet felelős mindkét esetért. A hozzáférés feltételezhetően social engineering módszerrel történt, feltört felhasználói adatokkal és esetleges helpdesk-folyamatok kihasználásával.
M&S: 300 millió fontos várható veszteség, 22%-os visszaesés a napi forgalomban
Az M&S pénzügyi jelentésében mintegy 300 millió fontos veszteséggel számol a 2025/26-os évre. A CMC becslése szerint az online értékesítésben napi 1,3 millió font veszteség keletkezett, amit csak részben enyhített a korai részleges visszaállás. A fogyasztói költés a csúcsponton napi 22%-kal esett vissza – az online eladások gyakorlatilag leálltak, az üzletekben pedig közel 15%-os forgalomcsökkenést tapasztaltak.
A kizárólag saját márkás modell különösen nehézzé tette az ellátási lánc rugalmas kezelését, főként a készételek és húsfélék esetében, ahol az alternatív elosztási lehetőségek korlátozottak voltak. Ez több beszállítónál likviditási gondokat eredményezett, bár a vállalat igyekezett támogatást nyújtani partnereinek. A digitális csatornák kiesése felerősítette a veszteségeket. Az informatikai újjáépítés és jogi költségek tételesen nem szerepeltek a jelentésben, de a CMC jelentősnek minősítette azokat.
Co-op: kevesebb kár, de vidéken érzékeny hatás
A Co-op esetében az első harminc napban napi 11%-os visszaesést mértek a vásárlói költésekben. Pontos pénzügyi adat nem áll rendelkezésre, de a kisebb visszaesés, illetve az online értékesítés hiánya miatt az M&S-hez képest jóval mérsékeltebb veszteséggel számolnak. A legsúlyosabb hatások vidéki térségekben – például Skócia egyes elzárt területein – jelentkeztek, ahol a Co-op az egyetlen élelmiszerüzletként működik. A cég a kiszolgálás helyreállítását ezekben a régiókban helyezte előtérbe, gyors reakcióval és logisztikai átcsoportosítással.
A Co-op is szembesült informatikai, jogi és helyreállítási költségekkel, de ezekről nem közöltek külön adatokat.