Kelepçelenen Dört Kişi — Milyar Sterlinlik Saldırının Arkasındaki Tahmin Edilen Hackerlar

10 Temmuz sabahı, Londra ve Staffordshire’da sessizlik, eş zamanlı polis baskınlarıyla bozuldu. Yaşları 17 ile 20 arasında değişen dört kişi, altı hafta önce dijital olarak çöken İngiltere’nin köklü perakende devi Marks & Spencer’a yönelik siber saldırının sorumluları oldukları gerekçesiyle gözaltına alındı.

Tutuklananlar uluslararası suç örgütleriyle bağlantılı profesyonel hackerlar değildi. Gençlerdi — öğrenciler, serbest çalışanlar — ve iddiaya göre daha önce MGM Resorts gibi küresel devleri hedef alan Scattered Spider (UNC3944) adlı hacker grubunun üyeleriydiler. Bu kez hedef Las Vegas değil, Londra’ydı. Ve kurban, İngiliz perakendesinin simgesiydi.

Sonuçlar yıkıcıydı. 46 gün boyunca çevrim içi satışlar durdu. Tedarik zincirleri çöktü. Müşteri verileri sızdırıldı. Tahmini toplam zarar: 1 milyar sterlinin üzerinde.

Ama en çarpıcı detay neydi? Cy-Napea® bunu önceden tahmin etmişti.

26 Mayıs’ta, saldırıdan sadece bir gün sonra, Cy-Napea® şu makaleyi yayınladı:
“The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail”
Bu analizde, olası failler olarak Scattered Spider grubu işaret edildi, kullanılan DragonForce fidye yazılımı tanımlandı ve tedarikçi kimlik sahtekarlığına dikkat çekildi — resmi makamlar harekete geçmeden çok önce.

O dönemde bu rapor spekülatif olarak değerlendirildi. Bugün ise olayın adım adım senaryosu gibi okunuyor.

Tutuklamalar, Cy-Napea®’nin öngörüsünü doğruluyor: Siber suç artık genç, dağınık ve şaşırtıcı derecede etkili. Karanlık bir odada kod yazan yalnız hacker imajı yerini, yatak odasından veya kafeden dev şirketleri çökerten gençlere bıraktı.

Marks & Spencer sadece bir kurban değildi. Yeni nesil dijital tehditlerin test alanıydı — ve biz, duman dağılmadan önce her adımını belgeledik.

Bir Çöküşün Zaman Çizelgesi — Hackerlar Dijital Kuşatmayı Nasıl Planladı?

Marks & Spencer’a yapılan saldırı ani bir patlama değil, adım adım ilerleyen bir dijital kuşatmaydı. Her aşama dikkatle planlandı, insan hatası ve sistemsel boşluklar ustalıkla kullanıldı. İşte saldırının zaman çizelgesi ve kullanılan yöntemlerin detaylı analizi.

21–24 Mayıs: Sızma Başlıyor

Saldırganlar, fidye yazılımını devreye almadan günler önce harekete geçti.

• İlk erişim, lojistik ve stok yönetimiyle ilgili bir üçüncü taraf tedarikçi üzerinden sağlandı.

• Hackerlar, spear-phishing yöntemleriyle M&S çalışanı gibi davranarak giriş bilgilerini ele geçirdi.

• Bu bilgilerle, iç ağda yatay hareket ederek sistemler arasında geçiş yaptılar.

25 Mayıs: Dijital Patlama

Saat 03:43 BST’de fidye yazılımı aktif hale getirildi.

• Kullanılan yazılım: DragonForce, özelleştirilebilir bir RaaS (Hizmet Olarak Fidye Yazılımı) türü.

• 15 dakika içinde M&S’nin dijital altyapısı şifrelenerek kilitlendi.

• Online satış, sipariş takibi ve müşteri veritabanları erişilemez hale geldi.

• Click & Collect hizmeti durduruldu, arka uç sistemler çöktü.

26 Mayıs: Cy-Napea® Uyarıyor

Saldırıdan sadece bir gün sonra, Cy-Napea® şu analizi yayınladı:
“The Day Marks & Spencer Fell: A Cyber Catastrophe That Shook Retail”
Bu analizde, Scattered Spider (UNC3944) grubu olası failler olarak gösterildi, DragonForce’un teknik özellikleri açıklandı ve tedarik zincirindeki zayıflıklar vurgulandı.

Bu, kamuoyuna yapılan ilk teknik uyarıydı.

27 Mayıs – 15 Haziran: Kriz Yönetimi

M&S iç kriz moduna geçti.

• Müşteri iletişimi sınırlandırıldı, öncelik sistem kurtarmaya verildi.

• Adli analizler, saldırının bir tedarikçi hesabı üzerinden gerçekleştiğini ortaya koydu.

• Sızdırılan veriler: isimler, doğum tarihleri, e-posta adresleri — ödeme bilgileri etkilenmedi.

• Operasyonel zarar: yaklaşık 300 milyon sterlin.

16 Haziran – 9 Temmuz: Sessizlik ve Uluslararası İşbirliği

NCA, Interpol ve FBI ortak bir soruşturma başlattı.

• Kripto para transferleri takip edilerek saldırganların izine ulaşıldı.

• Scattered Spider’ın önceki saldırılarıyla benzerlikler tespit edildi.

• Dark web forumlarında övünen iki kişi kimlikleriyle eşleştirildi.

10 Temmuz: Şafakta Tutuklamalar

Polis ekipleri Londra, Staffordshire ve West Midlands’ta baskınlar düzenledi.

• Dört kişi gözaltına alındı: 17 yaşında bir genç, iki 19 yaşındaki (biri Letonya vatandaşı) ve 20 yaşında bir kadın.

• Ele geçirilen cihazlarda fidye yazılımı aracılarıyla yapılan görüşmeler, eğitim materyalleri ve ödeme kayıtları bulundu.

Marks & Spencer’a yapılan saldırı, rastgele bir dijital çöküş değil; planlı, çok aşamalı ve insan psikolojisini hedef alan bir operasyondu. Her adım, geleneksel güvenlik sistemlerinin sınırlarını zorladı.

Saldırının Anatomisi — Dijital Çöküşün Arkasındaki Yöntemler

Marks & Spencer’ın dijital çöküşü, basit bir güvenlik açığından değil; insan psikolojisini, sistemsel zayıflıkları ve teknolojik karmaşıklığı hedef alan sofistike bir saldırıdan kaynaklandı. Bu bölümde, saldırganların kullandığı yöntemleri adım adım inceliyoruz — klasik güvenlik sistemlerinin neden yetersiz kaldığını ortaya koyarak.

Sosyal Mühendislik: Güvenin İstismarı

Saldırganlar, teknik sistemlerden önce insanları hedef aldı.

• Kendilerini M&S çalışanı veya tedarikçi gibi tanıtarak e-posta, LinkedIn profili ve hatta sahte video görüşmeleriyle üçüncü tarafları kandırdılar.

• Bu kişiler, farkında olmadan saldırganlara sistemlere erişim sağlayan ayrıcalıklı giriş bilgileri verdi.

• Böylece saldırganlar, güvenlik duvarlarını aşmadan iç ağlara sızabildi.

Yatay Hareket ve Ağ Keşfi

Sisteme giriş yaptıktan sonra saldırganlar dikkatli ve sessizce ilerledi.

• Ele geçirilen kimlik bilgileriyle ağ içinde yatay hareket ederek farklı sistemleri analiz ettiler.

• Zayıf noktalar — örneğin geçici dosya paylaşımları ve az izlenen uç noktalar — hedef alındı.

• Amaç, kalıcı ve gizli bir komuta-kontrol altyapısı kurmaktı.

Bazı hesaplar, fidye yazılımı devreye alınmadan önce 72 saate kadar aktif kaldı.

DragonForce Fidye Yazılımının Dağıtımı

25 Mayıs sabahı, saldırının en yıkıcı aşaması başladı.

• Kullanılan fidye yazılımı: DragonForce, RaaS (Hizmet Olarak Fidye Yazılımı) modeline dayalı, modüler ve özelleştirilebilir bir araç.

• 15 dakika içinde kritik sistemler şifrelendi.

• Yazılım, müşteri bilgilerini (isim, e-posta, doğum tarihi) dışarı aktaran veri sızdırma komutları içeriyordu.

• Aynı anda, sistem içi kurtarma araçları devre dışı bırakıldı.

Altyapının Çöküşü

Saldırının etkisi anında hissedildi.

• Online satışlar durduruldu.

• Click & Collect hizmeti askıya alındı.

• Depo ve stok yönetim sistemleri çöktü, siparişler kayboldu.

• Yedekleme sistemleri bile enfekte olduğu için manuel kurtarma girişimleri başarısız oldu.

İzleri Silme ve Gizlilik

Saldırganlar, yakalanmamak için profesyonel yöntemler kullandı.

• Sistem günlükleri değiştirildi, zaman damgaları manipüle edildi.

• İletişim, Tor ağı ve şifreli Telegram kanalları üzerinden yürütüldü.

• Kripto para ödemeleri, izlenemez hale getirmek için karıştırıcı servisler aracılığıyla yönlendirildi.

Bu düzeydeki disiplin ve teknik bilgi, saldırganların ya ileri düzeyde eğitimli olduğunu ya da deneyimli siber suç grupları tarafından yönlendirildiğini gösteriyor.

Marks & Spencer, sadece bir fidye yazılımı kurbanı değildi. Sistematik olarak hedef alınmış, adım adım çözülmüş ve klasik savunma mekanizmalarının ötesinde bir saldırıyla karşı karşıya kalmıştı.

Yeniden Doğuş — Marks & Spencer Kontrolü Nasıl Geri Aldı?

Saldırıdan sonra Marks & Spencer dijital bir enkazın ortasında kaldı. Sistemler çökmüş, müşteri güveni sarsılmış, finansal kayıplar milyarları bulmuştu. Ancak şirket sessizce geri çekilmek yerine, kamuya açık bir yeniden yapılanma süreci başlattı — cesur, şeffaf ve ileriye dönük.

Kurumsal Kurtarma Süreci

Marks & Spencer, uluslararası adli bilişim ekipleriyle iş birliği yaparak 150 milyon sterlinlik bir siber güvenlik yatırımı gerçekleştirdi.

Uygulanan başlıca adımlar:

• 7/24 Güvenlik Operasyon Merkezi (SOC) kurulması

• Tüm ağlarda Zero Trust mimarisi uygulanması

• Çalışanlara yönelik oltalama simülasyonları ve tedarikçi doğrulama eğitimleri

• Müşterilere yönelik şeffaflık raporları ve tazminat teklifleri

DigitalCloudUK’un analizine göre, bu dönüşüm M&S tarihindeki en büyük teknoloji modernizasyonu olarak kabul ediliyor.

Dijital Güvenin Yeniden İnşası

Teknik iyileştirmelerin ötesinde, M&S müşteri güvenini yeniden kazanmayı hedefledi.

Yeni güvenlik önlemleri:

• Tüm müşteri hesaplarında iki faktörlü kimlik doğrulama

• Merkezi olmayan bulut tabanlı yedekleme sistemleri

• Yapay zekâ destekli davranışsal anomali tespiti, kimlik sahtekarlığına karşı erken uyarı sağlıyor

Infosecurity Magazine’e göre, bu yaklaşım İngiltere perakende sektöründe yeni bir standart oluşturabilir.

Cy-Napea® Laboratuvar Simülasyonu: DragonForce’a Karşı EDR

Cy-Napea®, saldırının teknik detaylarını test etmek amacıyla aynı DragonForce fidye yazılımı varyantını kullanarak kapalı bir laboratuvar ortamında simülasyon gerçekleştirdi.

Sonuçlar:

• EDR (Uç Nokta Tespit ve Yanıt) sistemi fidye yazılımını 3 saniyeden kısa sürede tespit edip durdurdu

• Tam geri alma işlemi başarıyla uygulandı, hiçbir veri şifrelenmedi veya sızdırılmadı

• Saldırı, ilk vektörün ötesine geçemedi

Bu test, davranışsal yapay zekâ ve katmanlı görünürlükle desteklenen proaktif savunmanın, gelişmiş RaaS (Hizmet Olarak Fidye Yazılımı) tehditlerini etkisiz hale getirebileceğini kanıtlıyor.

Açıklama ve Kaynaklar

Bu içerik, Cy-Napea® tarafından yapılan özgün analizlerin yanı sıra kamuya açık ve doğrulanmış kaynaklara dayanmaktadır.

Kaynaklar:

• “The Day Marks & Spencer Fell” – Cy-Napea® Blog

• National Crime Agency – 10 Temmuz 2025 Basın Açıklaması

• DigitalCloudUK – M&S Siber Saldırı ve Kurtarma Stratejisi

• Infosecurity Magazine – M&S ve Co-op Saldırıları Tek Bir Olay Olarak Sınıflandırıldı

• Kaspersky – DragonForce Fidye Yazılımı Analizi

• BleepingComputer – Saldırı Zaman Çizelgesi ve Teknik Bulgular

Marks & Spencer sadece bir saldırıyı atlatmadı — dijital direncin yeni tanımını yazdı. Ve Cy-Napea®, hem uyarı yapan hem çözüm sunan bir ortak olarak bu sürecin merkezindeydi.