Ransomware-attack lamslog brittisk detaljhandels jätte – kostade £300 miljoner

Den mest förödande cyberattacken mot brittisk detaljhandel på åratal slog ut Marks & Spencer (M&S) under våren 2025 och visade hur även välrenommerade företag kan få sina verksamheter helt paralyserade av sofistikerade cyberbrottslingar. Attacken, som tillskrivs den ökända hackargruppen ”Scattered Spider”, kostade det 141 år gamla företaget uppskattningsvis £300 miljoner i förlorad rörelsevinst och förstörde tillfälligt dess digitala infrastruktur¹.

Det som började som sporadiska problem med kontaktlösa betalningar under påskhelgen utvecklades snabbt till den mest omfattande ransomware-attacken mot en brittisk detaljhandlare någonsin.

Hur attacken planerades genom månader av planering

Initial intrång och datainsamling

Scattered Spider-hackarna visade anmärkningsvärd tålamod i sin approach mot M&S. Enligt cybersäkerhetsutredare började attacken redan i februari 2025 när hackarna lyckades stjäla den kritiska NTDS.dit-filen – den centrala Active Directory-databasen som innehåller lösenordshash för alla Windows-domänanvändare².

Denna fil gav angriparna möjlighet att:

• Offline-cracka lösenord för M&S-anställdas konton
• Kartlägga hela AD-strukturen utan att detekteras
• Planera lateral rörelse genom företagets nätverk
• Identifiera kritiska system för framtida attack³

Attacken började med social engineering-fasen

Den initiala åtkomsten skedde genom klassisk social engineering. Scattered Spider-medlemmar ringde M&S IT-helpdesk och utgav sig för att vara interna supporttekniker för att få lösenord återställda och multifaktor-autentisering inaktiverad⁴. Denna taktik, som gruppen perfektionerat genom attacker mot MGM Resorts och Caesars Entertainment, utnyttjar det faktum att dess medlemmar är engelsktalande och därför kan genomföra övertygande telefonsamtal.

”Deras motivation verkar handla lika mycket om skryträttigheter på de kanaler där de kommunicerar som om pengar”, förklarar Tim Mitchell, senior säkerhetsforskare på Secureworks⁵.

Ransomware-deployment: DragonForce

Den 24 april 2025 slog hackarna till med full kraft genom att deploya DragonForce ransomware på M&S VMware ESXi-värdar⁶. DragonForce, en ”ransomware-as-a-service” (RaaS) operation som varit aktiv sedan augusti 2023, krypterade kritiska system över hela företaget och krävde lösen för dekryptering.

Operationell förödelse: 46 dagar av ren kaos

Omedelbar påverkan

Attackens timing var förödande. När M&S-kunder skulle handla under påskhelgen möttes de av:

• Nedsläckta kontaktlösa betalningssystem i över 1,400 butiker
• Avstängda click-and-collect-tjänster
• Totalt stopp för online-beställningar från 25 april
• Tomma hyllor när logistik- och lagerpåfyllningssystem föll⁷

Manuell verksamhet och finansiell påverkan av cyberattacken

M&S tvingades återgå till penna och papper för att spåra färsk mat och kläderlager, vilket ledde till betydande ineffektiviteter. Omkring 200 lagerarbetare vid företagets Castle Donington-anläggning i East Midlands fick order att stanna hemma när systemen var nere⁸.

De finansiella konsekvenserna var brutala:

• £40 miljoner förlorade försäljningar per vecka under störningsperioden⁹
• £750 miljoner raderades från börsvärdet vid ett tillfälle¹⁰
• £300 miljoner total påverkan på rörelsevinsten för 2025/26¹¹

Återhämtningsprocessen

Det tog exakt 46 dagar för M&S att gradvis återuppta sin näthandel, med online-beställningar för kläder som återupptogs den 10 juni 2025¹². Även då var det bara ett begränsat sortiment – företaget fokuserade på ”bästsäljare och nyheter” medan de gradvis byggde upp lagret igen¹³.

Scattered Spider gruppen är engelsktalande cyberbrottslingar

Gruppens profil och metoder

Scattered Spider skiljer sig markant från traditionella ransomware-grupper genom att vara engelsktalande och baserade i väster snarare än Ryssland. Gruppen, som även kallas UNC3944 eller Octo Tempest, fungerar som ett löst nätverk av främst unga hackare som koordinerar via forum och plattformar som Telegram och Discord¹⁴.

Gruppens specialiteter inkluderar:

• Avancerad social engineering med fokus på IT-helpdesks
• SIM-swapping för att kringgå tvåfaktorsautentisering
• MFA fatigue-attacker där offer bombarderas med push-notifikationer
• Credential phishing mot Single Sign-On (SSO) plattformar¹⁵

Historisk bakgrund och eskalering

Scattered Spider började inom finansiellt bedrägeri och social media-hackning men eskalerade till sofistikerade företagsattacker. Den pivotala punkten kom i september 2023 när de bröt sig in hos MGM Resorts genom att ringa IT-helpdesken och utge sig för att vara en anställd¹⁶.

Detta var första gången engelsktalande cyberbrottslingar bekräftat samarbetade med rysktalande ransomware-grupper, vilket markerade en betydande utveckling inom cyberbrottslandskapet¹⁷.

Aggressiv retorik och hot

Scattered Spider är ökänt för sina aggressiva metoder. I en attack dokumenterad av Microsoft hotade en Scattered Spider-hackare offrets familj: *”Om vi inte får dina [raderat] inloggningsuppgifter inom 20 minuter skickar vi en skytt till ditt hus. Din fru kommer att skjutas om du inte [raderat] ger efter”*¹⁸.

Teknisk analys: Så genomfördes attacken

Active Directory-kompromittering

NTDS.dit-filen som stulits i februari innehöll lösenordshash för alla M&S domänanvändare. Genom att använda hashcat eller liknande verktyg kunde hackarna:

1. Cracka svaga lösenord offline utan upptäckt
2. Identifiera privilegierade konton för lateral rörelse
3. Extrahera Kerberos-biljetter för Golden Ticket-attacker
4. Kartlägga organisationsstrukturen för målriktade angrepp¹⁹

DragonForce ransomware-deployment

DragonForce använder en ”white-label” modell där affiliates (som Scattered Spider) kan anpassa ransomware-koden för sina specifika mål. I M&S-fallet:

• VMware ESXi-värdar var primära mål för maximal skada
• Dubbel utpressning användes – både kryptering och hot om dataläckage
• CEO Stuart Machin fick ett meddelande från DragonForce via ett anställds e-postkonto som bekräftade attacken²⁰

Bredare kontext: 2025 är ett rekordår för ransomware

Statistik och trender 2025

April 2025 var en rekordmånad för ransomware-aktivitet med 86 publika attacker – en ökning med 46% jämfört med föregående år²¹. Denna eskalering drivs av flera faktorer:

• Professionalisering av ransomware-as-a-service modeller
• Förbättrade social engineering-tekniker
• Ökad målriktning mot kritisk infrastruktur och stora företag
• Högre lösenbelopp när företag blir mer beroende av digitala system

Andra brittiska cyberoffer

M&S var inte ensamt om att drabbas våren 2025. Cyber Monitoring Centre (CMC) klassificerade attackerna mot M&S och Co-op som en ”enda kombinerad cyberhändelse” med en total finansiell påverkan på £270-440 miljoner²². Även lyxvaruhuset Harrods drabbades av cyberattacker under samma period, men detaljerna kring den attacken förblir oklara²³.

Lärdomar för svenska företag

Kritiska sårbarheter exponerade

M&S-fallet visar flera kritiska lärdomar för svenska organisationer:

Active Directory-säkerhet:

• NTDS.dit-filen måste behandlas som kronjuveler med strikt åtkomstkontroll
• Privileged Access Management (PAM) är kritiskt för domänadministratörer
• Regular password audits för att identifiera svaga lösenord innan hackare gör det
• Segmentering av AD-miljöer för att begränsa lateral rörelse

IT-helpdesk säkerhet:

• Strikt verifieringsprocesser för lösenordsåterställningar
• Begränsade behörigheter för helpdesk-agenter
• Sekundära godkännanden för privilegierade kontoändringar
• Återkommande träning om social engineering-tekniker

Supply chain och tredjepartssäkerhet

M&S bekräftade att hackarna kom in via en tredjepartsleverantör²⁴, vilket understryker vikten av:

• Leverantörssäkerhetsbedömningar innan anbindning
• Zero Trust-principer för alla externa anslutningar
• Kontinuerlig övervakning av tredjepartstillgång
• Incident response-planer som inkluderar leverantörsscenarier

Regulatoriska och juridiska konsekvenser

GDPR och ICO-böter

M&S väntar fortfarande på Information Commissioner’s Office (ICO) utredning om eventuella GDPR-brott. Maximiböter kan vara upp till £552 miljoner (4% av global omsättning) även om tidigare fall tyder på att faktiska böter ofta blir betydligt lägre efter hänsyn till omständigheter²⁵.

Jämförelser med tidigare fall:

• British Airways: Ursprungligen £183 miljoner, reducerat till £20 miljoner
• Tesco Bank: £16.4 miljoner för cybersäkerhetsbrister
• Marriott: £99 miljoner för otillräckligt dataskydd²⁶

Försäkring och kostnadsminimerande åtgärder

M&S förväntar sig att minska den totala påverkan genom en kombination av:

• Cyberförsäkringsutbetalningar för direkta kostnader och förlorade intäkter
• Kostnadshantering genom tillfällig personalreducering
• Andra handelsåtgärder inklusive djupare rabatter på slutsäsongskläder²⁷

Framtida implikationer: Nytt cybersäkerhetsparadigm

Teknologisk uppgradering

M&S har meddelat att de kommer att påskynda infrastrukturinvesteringar som ett direkt resultat av attacken²⁸. Detta inkluderar:

• Zero Trust-arkitektur implementation
• Förbättrad endpoint detection and response (EDR)
• AI-driven anomaly detection för tidiga varningssignaler
• Backup och disaster recovery modernisering

Branschövergripande förändringar

M&S-attacken kommer sannolikt att katalysera betydande förändringar inom brittisk detaljhandel:

• Mandatory cyber resilience standards för stora detaljhandlare
• Branschövergripande threat intelligence-delning
• Stärkt regulatorisk övervakning av cybersäkerhetspraxis
• Ökade investeringar i cybersäkerhetsutbildning och -teknologi

Slutsatser: Cybersäkerhet som affärskritisk funktion

M&S-fallet demonstrerar brutalt tydligt att cybersäkerhet inte längre är en IT-fråga utan en existentiell affärsrisk. När ett 141 år gammalt företag med över 64,000 anställda kan paralyseras i 46 dagar av en handfull hackare, måste hela näringslivet ompröva sina prioriteringar.

Tre kritiska takeaways för svenska företag:

1. Social engineering trumps teknologi – De mest sofistikerade tekniska försvaren kan kringgås av ett övertygande telefonsamtal till IT-helpdesken.
2. Active Directory är företagets kronjuveler – En kompromitterad NTDS.dit-fil kan ge hackare ”gudomlig” åtkomst till hela organisationen.
3. Incident response måste inkludera affärskontinuitet – Teknisk återställning är bara början; att återvinna kundernas förtroende och få verksamheten att löpa normalt igen kan ta månader.

Som CEO Stuart Machin sa efter attacken: *”Det har varit utmanande, men det är ett ögonblick i tiden, och vi fokuserar nu på återhämtning, med målet att komma ut ur denna period som ett mycket starkare företag”*²⁹.

För svenska företag är budskapet tydligt: det är inte längre en fråga om om ni kommer att drabbas av en sofistikerad cyberattack, utan när. De organisationer som förbereder sig nu kommer att ha betydligt bättre chanser att överleva och återhämta sig när det oundvikliga inträffar.

---

Källor:

1. Marks & Spencer, ”Full Year Results for the 52 Weeks Ended 29 March 2025”, maj 2025
2. BleepingComputer, ”Marks & Spencer breach linked to Scattered Spider ransomware attack”, 30 april 2025
3. Specops Software, ”M&S ransomware hack: Active Directory & Service Desk security lessons”, maj 2025
4. Computer Weekly, ”Scattered Spider on the hook for M&S cyber attack”, april 2025
5. The Guardian, citerad i LBC, ”M&S cyber attack linked to hacking group Scattered Spider”, 30 april 2025
6. Help Net Security, ”Marks & Spencer cyber incident linked to ransomware group”, 29 april 2025
7. Al Jazeera, ”Harrods, M&S hit by cyberattack: What happened, who’s behind it?”, 2 maj 2025
8. ITV News, ”Who is Scattered Spider, the group being linked to the M&S cyber attack?”, 29 april 2025
9. MoneyWeek, ”M&S results: cyber attack to cost £300 million in profit”, 21 maj 2025
10. BlackFog, ”Marks & Spencer Breach: How A Ransomware Attack Crippled a UK Retail Giant”, juni 2025
11. Reuters, ”After 46-day cyberattack pause, M&S resumes online orders”, 10 juni 2025
12. Ibid.
13. Ibid.
14. Tech Monitor, ”Cyberattack at Marks & Spencer involves Scattered Spider hackers”, 29 april 2025
15. BleepingComputer, ”Marks & Spencer breach linked to Scattered Spider ransomware attack”, 30 april 2025
16. ITV News, ”Who is Scattered Spider, the group being linked to the M&S cyber attack?”, 29 april 2025
17. BleepingComputer, ”Marks & Spencer breach linked to Scattered Spider ransomware attack”, 30 april 2025
18. Computer Weekly, ”Scattered Spider on the hook for M&S cyber attack”, april 2025
19. Specops Software, ”M&S ransomware hack: Active Directory & Service Desk security lessons”, maj 2025
20. BlackFog, ”Marks & Spencer Breach: How A Ransomware Attack Crippled a UK Retail Giant”, juni 2025
21. BlackFog, statistik om ransomware-aktivitet april 2025
22. The Hacker News, ”Scattered Spider Behind Cyberattacks on M&S and Co-op, Causing Up to $592M in Damages”, juni 2025
23. Al Jazeera, ”Harrods, M&S hit by cyberattack: What happened, who’s behind it?”, 2 maj 2025
24. Reuters, ”After 46-day cyberattack pause, M&S resumes online orders”, 10 juni 2025
25. AJ Bell, ”Marks & Spencer outlines £300 million hit to profit”, 30 juni 2025
26. Ibid.
27. Shares Magazine, ”Marks & Spencer outlines £300 million hit to profit from hack attack”, 21 maj 2025
28. AJ Bell, ”Marks & Spencer outlines £300 million hit to profit”, 30 juni 2025
29. Shares Magazine, ”Marks & Spencer outlines £300 million hit to profit from hack attack”, 21 maj 2025