İngiltere merkezli perakende devi Marks & Spencer (M&S), tarihin en organize siber saldırılarından biriyle karşı karşıya. 23 Nisan’da M&S CEO’su Stuart Machin’in e-posta kutusuna gelen tehdit dolu bir mesaj, yalnızca kişisel hakaretlerle sınırlı kalmadı; aynı zamanda şirketin sistemlerinin tamamen şifrelendiğini ve milyonlarca sterlinlik kaybın yaşandığını ilan etti.
Bu tehdit e-postası, M&S çalışanlarından birinin hesabı üzerinden gönderildi. İçeriğinde ise DragonForce adlı siber suç grubunun karanlık ağ bağlantıları, ırkçı ifadeler ve açıkça fidye talepleri bulunuyor. Mesaj, M&S’nin daha önce inkar ettiği siber saldırıyı ilk kez doğrulaması açısından kritik bir kırılma noktası oluşturdu.
300 Milyon Sterlinlik Zarar: Online Siparişler Hâlâ Durdurulmuş Durumda
E-postanın gönderilmesinden bu yana geçen altı haftalık süreçte, M&S online satış altyapısını hâlâ devreye alamadı. Tahminlere göre saldırı şirketi yaklaşık 300 milyon sterline mal etti. Saldırının etkileri yalnızca dijital sistemlerle sınırlı değil; operasyonel süreçlerde de ciddi aksamalar yaşanıyor.
Fidye talebi içeren e-postada, hackerlar CEO’ya “Haydi partiyi başlatalım. Bize mesaj atın, bu işi kolaylaştıralım” çağrısında bulundu. Ayrıca şirketin siber sigorta poliçesi hakkında bilgi sahibi olduklarını belirterek pazarlıkta el yükseltmeye çalıştılar. Paylaşılan dark web bağlantısı, görüşmelerin yapılacağı özel fidye portalına yönlendirilmişti.
DragonForce: Sadece M&S Değil, Co-op da Hedefte
Bu siber şantaj kampanyası yalnızca Marks & Spencer’la sınırlı değil. Aynı dönemlerde süpermarket zinciri Co-op da benzer bir saldırıya uğradı ve bazı şubelerinde rafların günlerce boş kaldığı bildirildi. DragonForce’un karanlık ağda yayınladığı görsel içeriklerde, Co-op ve M&S logoları yan yana yer aldı. Grup, bu saldırıların sorumluluğunu açıkça üstlenmiş durumda.
DragonForce’un Arka Yüzü: Saldırının Arkasında Kimler Var?
DragonForce, yalnızca kendi yazılımını dağıtan bir fidye grubu değil; aynı zamanda suç ortaklarıyla gelir paylaşımı yapan bir siber suç platformu. Karanlık ağdaki sitelerinde, siber saldırı yapmak isteyen kişilere hizmet sunuyorlar. Grup, gerçekleştirdikleri saldırılardan elde edilen fidyenin yüzde 20’sini alarak gelir elde ediyor.
BBC’ye yapılan açıklamalarda, DragonForce’un bazı teknik sorunlar nedeniyle henüz M&S veya Co-op verilerini sızdırmadıkları, ancak “yakında” tüm bilgileri yayımlayacakları belirtildi. Bu açıklama, kamuoyu baskısını artırırken, şirketler üzerindeki panik havasını da sürdürüyor.
DragonForce’un kökeni hakkında çeşitli iddialar mevcut. Bazı siber güvenlik uzmanları grubu Malezya ile ilişkilendirirken, bazıları Rusya kaynaklı olduğunu öne sürüyor. Ancak son saldırılarda kullanılan ifadeler ve teknik izler, Çin bağlantılı olabileceklerine dair ipuçları taşıyor.
Scattered Spider: Genç Ama Tehlikeli Bir Kolektif mi?
Saldırılarla ilgili en dikkat çeken spekülasyonlardan biri, olayın arkasında Scattered Spider adlı bir hacker kolektifinin olabileceği yönünde. Bu yapı klasik anlamda bir örgüt değil; Discord, Telegram ve çeşitli hacker forumlarında organize olan dağınık bir topluluk. CrowdStrike tarafından bu nedenle “scattered” (dağınık) olarak adlandırılmış durumda.
Grubun bazı üyelerinin ABD ve Birleşik Krallık’tan, hatta ergenlik çağındaki gençler olduğu iddia ediliyor. Aynı yapının daha önce Harrods gibi prestijli şirketlere yönelik saldırılarla da bağlantısı olduğu düşünülüyor. Siber suç dünyasında yaş ortalaması düşerken, etkisi giderek büyüyen bu kolektifin takip edilmesi güç hale geliyor.
NCA ve BBC’nin İz Süreci: Karakterlerini Bile Dizilerden Alıyorlar
Birleşik Krallık Ulusal Suç Ajansı (NCA), soruşturmalarında odağı bu kolektife çevirmiş durumda. BBC belgeselinde yer alan röportajda, Co-op’u hackleyen kişiler kendilerine “Scattered Spider” denilip denilemeyeceği sorusunu cevapsız bırakıyor.
Kendilerini, ABD yapımı suç dizisi The Blacklist’teki karakterler Raymond Reddington ve Dembe Zuma ile özdeşleştirdiklerini söyleyen hackerlar, bu tercihleriyle hem bir mizah unsuru hem de toplumsal korku yaratmaya devam ediyorlar.
