Cyberchaos in het Verenigd Koninkrijk: Britse Retailers Onder Vuur.

Marketing & Communicatie
13 mei 2025

Een onrustbarend patroon van cyberaanvallen teistert de afgelopen weken het Verenigd Koninkrijk, waarbij grote namen in de detailhandel het slachtoffer zijn geworden. Meerdere meldingen van cyberaanvallen, variërend van ransomware tot mogelijke datalekken, hebben de veerkracht van de digitale infrastructuur in het land ernstig op de proef gesteld. 


Marks & Spencer: Ransomware legt online operatie plat

De golf van incidenten begon met warenhuisgigant Marks & Spencer. Sinds 25 april kampt de retailer met een serieuze ransomwareaanval op hun servers. De directe gevolgen waren aanzienlijk: de online bestellingen via de website en app moesten per direct worden stopgezet en zijn op dit moment nog steeds niet operationeel. Ook de fysieke winkels ondervinden hinder, met name de voedselafdeling, waar de voorraden minder gevuld zijn, doordat de systemen offline zijn gehaald om verdere risico's te minimaliseren. 

De ernst van de situatie wordt benadrukt door Ciaran Martin, de oprichter van het Britse NCSC, die spreekt van een "pittig geval van ransomware" dat mogelijk lastig op te lossen zal zijn. De onzekerheid rond de daders is groot. Namen van ransomwaregroep DragonForce en de beruchte tienerhackers van Scattered Spider circuleren, maar een definitieve bevestiging ontbreekt. Ondertussen lekten alarmerende berichten uit van een M&S-insider die tegen Sky News stelde dat het herstel nog maanden kan duren, mede door het ontbreken van een adequaat Business Continuïteit Plan.  

De interne chaos is groot, met medewerkers die noodgedwongen in het weekend werken en zelfs op kantoor slapen om de problemen zo snel mogelijk te verhelpen. Het gebruik van werkapparaten en communicatie via Teams is momenteel verboden, waardoor medewerkers noodgedwongen overstappen op Whatsapp. 


Co-op: Verstoringen, betaalproblemen en een mogelijk datalek

Niet veel later werd supermarktketen Co-op eveneens het slachtoffer van een cyberaanval. De impact was direct merkbaar in de winkels, waar lege schappen ontstonden door verstoringen in de voorraadmonitoringssystemen, wat de levering van verse producten belemmerde. Daarnaast konden klanten tot dinsdag enkel contant betalen. Hoewel dit betaalprobleem inmiddels is opgelost, is de nasleep van de aanval nog voelbaar. Opvallend detail is dat Co-op tijdens een Teammeeting medewerkers verzocht hun camera's aan te zetten om de identiteit van de deelnemers te verifiëren, en dat het verboden was de overleggen op te nemen of schriftelijk vast te leggen. 

Een nog zorgwekkender aspect van de aanval op Co-op is de melding van een significant datalek. De cybercriminelen beweren toegang te hebben gekregen tot de gegevens van maar liefst 20 miljoen leden. Hoewel Co-op dit aantal niet bevestigt, erkennen ze dat er een "beperkte hoeveelheid ledengegevens" is buitgemaakt, waaronder namen, contactgegevens en geboortedata. Het bedrijf benadrukt dat bankgegevens, transactiegegevens en wachtwoorden niet zijn gecompromitteerd. De CEO van Co-op toonde zich in een verklaring bewust van het belang van gegevensbescherming, zeker als een organisatie die eigendom is van haar leden. 


Harrods: Poging tot hack en beperkte internettoegang 

In de nasleep van deze incidenten meldde ook het luxe warenhuis Harrods het doelwit te zijn geweest van een poging tot een hack. Harrods gaf aan dat als gevolg van de aanval de internettoegang tot hun fysieke locaties beperkt was. Desondanks bleven de online verkopen via de website doorgaan en bleven ook de winkels gewoon open. Harrods liet in een verklaring weten dat hun "ervaren IT-beveiligingsteam direct proactieve maatregelen heeft genomen om de systemen veilig te houden en als gevolg daarvan hebben we vandaag de internettoegang op onze locaties beperkt." Het bedrijf maakte verder niet duidelijk hoe groot de impact op hun netwerk precies is, maar liet klanten weten dat zij "op dit moment niets anders hoeven te doen". 


Reactie van het Britse Nationale Cyber Security Centrum (NCSC)

Het Britse Nationale Cyber Security Centrum NCSC is nauw betrokken bij de afhandeling van deze incidenten. Zij werken samen met de getroffen organisaties om de aard van de aanvallen te doorgronden en passend advies te geven. NCSC CEO dr. Richard Horne benadrukte in een duidelijke boodschap: "Deze incidenten zouden een wake-upcall moeten zijn voor alle organisaties. Ik dring er bij leiders op aan het advies op de NCSC-website op te volgen en ervoor te zorgen dat ze passende maatregelen nemen om aanvallen te voorkomen en effectief te reageren en te herstellen." 

Het NCSC heeft inmiddels een concrete lijst met beveiligingsaanbevelingen gepubliceerd, die de volgende punten omvat:  

  • Implementeer Multi-Factor Authenticatie (MFA) in alle systemen.
  • Controleer op ongeautoriseerd accountgebruik, vooral risicovolle aanmeldingen die zijn gemarkeerd in Microsoft Entra ID Protection.
  • Controleer regelmatig domein-, ondernemings- en cloudbeheerdersaccounts om te verifiëren of de toegang legitiem is.
  • Bekijk de helpdeskprocedures om een sterke identiteitsverificatie te garanderen voordat u uw wachtwoord opnieuw instelt.
  • Geef uw beveiligingsteam de mogelijkheid om inlogpogingen vanuit ongewone bronnen, zoals residentiële VPN's te detecteren.


Pro-Russische Hackers Claimen DDoS-aanvallen

Naast de cyberaanvallen op de Britse detailhandel claimde de pro-Russische hackersgroep "NoName057(16)" de succesvolle aanval op een aantal Britse websites, waaronder lokale overheden. Zij motiveerden hun acties met de Britse betrokkenheid bij het conflict in Oekraïne en probeerden websites te overspoelen met DDoS-aanvallen. Het is op dit moment echter nog onduidelijk of er een verband bestaat tussen deze DDoS-aanvallen en de gerichte acties tegen de retailers. 


Retailers als Belangrijke Doelwitten

De recente incidenten benadrukken een alarmerende trend: retailers zijn belangrijke doelwitten voor cybercriminelen, primair vanwege de grote hoeveelheid gevoelige identiteits- en betalingsgegevens die ze beheren. Bovendien vergroten deze bedrijven hun aanvalsoppervlak aanzienlijk door de toenemende integratie van e-commerce en mobiele platforms. Deze digitale transformatie maakt hen vatbaarder voor geavanceerde cyberdreigingen, waaronder complexe ransomwareaanvallen, geraffineerde phishingcampagnes en aanvallen gericht op de kwetsbaarheden in hun toeleveringsketen. 

Tragisch genoeg wijzen deze recente gebeurtenissen erop dat de investeringen in en de prioriteit van cybersecurity in de afgelopen decennia ontoereikend zijn geweest. Hierdoor zijn veel organisaties onvoldoende beschermd tegen de huidige dreigingslandschap. Daarnaast blijkt dat veel bedrijven onvoldoende voorbereid zijn op het afwenden van cyberaanvallen, of beschikken niet over een doeltreffend plan voor operationeel herstel en continuïteit na een succesvolle inbraak. 


Onze Concrete Aanbevelingen

Vanuit de expertise van Audittrail willen we aan de adviezen van het Britse NCSC nog een aantal adviezen toevoegen: 

  • Zorg voor een doortimmerd Business Continuity Plan, zodat je weet wat jouw organisatie in huis heeft, en wat er nodig is om niet alleen te voorkomen dat risico's zich voordoen, maar ook hoe de schade te beperken is.
  • Geef daarbij aandacht een Incident Response / Disaster Recovery plan. Oefen dit plan regelmatig met alle deelnemers.
  • Veel ransomwareaanvallen en hacks worden weken of maanden eerder voorbereid door de hackers. Hoe eerder je weet dat er kwaadwillenden in je systemen zitten, hoe eerder je maatregelen kan treffen. Zorg dan ook voor een aansluiten op een SOC/SIEM van een gerenommeerde partij.
  • Test en toets je leveranciers regelmatig. Voer goed leveranciersmanagement en ga regelmatig met hen in overleg.