Заводы стоят, люди — на улице: Jaguar Land Rover остановил производство после кибератаки

Воскресный «стоп-кран»: начало инцидента

Последний выходной лета 2025 года стал черным днем в корпоративной истории Jaguar Land Rover (JLR). 31 августа британское подразделение автоконцерна подверглось масштабной атаке со стороны кибервымогателей. Чтобы не допустить дальнейшего распространения угрозы, компании пришлось в экстренном порядке отключить корпоративные ИТ-системы.

Последствия наступили мгновенно. По всей Великобритании остановились производственные линии, дилеры не могли регистрировать автомобили и оформлять заказы на запчасти. Особенно пострадал один из главных активов компании — производство в Солихалле, где собираются ключевые модели бренда — Land Rover Discovery, Range Rover и Range Rover Sport. Завод полностью прекратил работу, и согласно сообщениям в СМИ, десятки тысяч сотрудников были срочно отправлены по домам минимум до вторника, 2 сентября.

Компания официально подтвердила сбои и заявила, что перезапуск глобальных систем идет поэтапно и находится под контролем. При этом в первые дни JLR подчеркивала, что на тот момент не обнаружено признаков утечки данных или компрометации персональной информации клиентов.

Данные — главный трофей

Комментируя инцидент с Jaguar Land Rover, специалисты в области информационной безопасности подчеркивают, что остановка производственных мощностей — лишь наиболее заметное следствие атаки. Куда более серьезный риск связан с возможной утечкой конфиденциальной информации, включая внутреннюю документацию, журналы систем и корпоративную переписку.

По мнению экспертов, наибольший ущерб от подобных атак проявляется не сразу, а в долгосрочной перспективе — в виде фишинговых кампаний, компрометации подрядчиков, подделки деловой корреспонденции и попыток шантажа. Современные вымогательские группы все чаще делают ставку именно на эксфильтрацию данных как основную тактику воздействия. Похищенная информация используется для давления на жертву, и является ликвидным товаром на подпольных рынках.

В хакерской паутине: Scattered Spider / LAPSUS$ / Shiny Hunters

По данным исследователей кибербезопасности, за инцидентом стоит новое объединение известных хакерских группировок Scattered Spider, LAPSUS$ и Shiny Hunters, которые теперь действуют под новым именем Scattered LAPSUS$ Hunters. Данный альянс уже отметился серией громких атак на инфраструктуру Salesforce, последствия которых затронули десятки компаний по всему миру — среди них Cloudflare, Palo Alto Networks, Zscaler и TransUnion.

Хакерская группировка ведет активную кампанию в своем Telegram-канале, не скрывая ни своей причастности к инциденту с JLR, ни намерений. В постах хакеры открыто насмехаются над Jaguar Land Rover, исследователями Google Mandiant и специалистами Salesforce. Публикации содержат фрагменты внутренних документов JLR, включая инструкции по устранению проблем с зарядкой автомобилей и бортовые логи. Злоумышленники угрожают, что следующими целями могут стать Vodafone UK и представители британского правительства, включая высокопоставленных чиновников.

Активность группировки носит одновременно агрессивный и демонстративный характер, публикации полны провокационных заявлений, грубостей и шуток. При этом угрозы подтверждаются конкретными доказательствами — фрагментами украденных файлов и намеками на масштабы компрометации.

От ИТ-сбоя к серьезному производственному кризису

В первую неделю после инцидента стало ясно, что атака на Jaguar Land Rover оказалась куда более масштабной, чем казалось изначально. JLR официально признала, что восстановление IT-систем оказалось намного сложнее и идет дольше чем планировалось. Более того, автопроизводитель подтвердил, что часть данных действительно могла быть скомпрометирована.Пока публично не раскрывается, о каких именно данных идет речь, но сам факт этого признания свидетельствует о серьезности проникновения.

Производственные процессы и цепочки поставок JLR оказались полностью завязаны на автоматизацию, поэтому после отключения сетей остановка конвейеров стала неизбежной. Сбои ударили и по продажам, но для дилеров удалось внедрить временные решения.

Согласно последним заявлениям компании, производство на трех британских заводах — в Солихалле, Хейлвуде и Вулверхэмптоне — остановлено как минимум до 1 октября. По подсчетам специалистов, ежедневный ущерб для JLR составляет от 5 до 10 миллионов фунтов (от 6,8 до 13,6 млн. долларов), и совокупные убытки уже превысили 50 миллионов.  Эксперты отмечают, что у компании есть определенный запас прочности. Годовая прибыль до налогообложения составляет £2,5 млрд(примерно $3,4 млрд), и этот ресурс позволяет выдержать удар — но при условии, что кризис не затянется на месяцы.

Удар для малого бизнеса

Остановка производственных линий Jaguar Land Rover нанесла ущерб не только автогиганту, но и сотням поставщиков, среди которых много предприятий малого и среднего бизнеса.

Именно здесь эффект оказался особенно болезненным. Как подчеркивает бывший CEO Aston Martin Энди Палмер, значительная часть таких компаний может не пережить даже несколько недель простоя. Они работают на грани рентабельности, зависят от одного-двух ключевых клиентов, и любая задержка в производстве моментально превращается в угрозу выживания.

Некоторые предприятия уже отправили сотрудников домой с условием «отработать» накопленные часы позже, а другие перешли к увольнениям. Один из мелких поставщиков признался журналистам, что потерял почти половину сотрудников за считанные дни. Более крупные поставщики пока удерживают квалифицированных рабочих, но признают, что в случае затяжного простоя этот ресурс закончится. В совокупности речь идет о 250 тысяч рабочих мест в смежных секторах, и цепная реакция может охватить всю отрасль.

Парламент и профсоюзы требуют от правительства немедленных действий

Пока Jaguar Land Rover продолжает бороться с последствиями кибератаки, британское правительство оказывается под нарастающим давлением со стороны профсоюзов и членов парламента.

Профсоюз Unite, один из крупнейших в стране, требует ввести срочную схему субсидирования зарплат— аналог временной программы поддержки занятости, чтобы компенсировать доходы работников во время простоя и не допустить утраты производственных компетенций. По словам генерального секретаря объединения Шэрон Грэм, тысячи сотрудников цепочки поставок «оказались под немедленной угрозой», и промедление грозит долгосрочными потерями.

9 сентября инцидент с JLR стал предметом отдельного обсуждения в Палате общин. Министр бизнеса и торговли Крис Брайант заявил, что компания тесно сотрудничает с Национальным центром кибербезопасности (NCSC), и что правительство находится с руководством JLR и экспертами в ежедневном контакте.

Министр подчеркнул, что осознает масштаб угрозы, вышедшей далеко за рамки одной компании и затронувшей не только производство, но также поставщиков, сотрудников и локальные экономики. Он отметил, что в настоящее время обсуждаются возможные меры поддержки, включая финансовые инструменты, однако на тот момент никаких конкретных решений озвучено не было.

При этом для сотен поставщиков и их сотрудников ключевым остается вопрос времени. Чем дольше простаивает производство, тем больше риск, что временный кризис может перерасти в структурный обвал и стать серьезным ударом для всей индустрии.