Dijital Kuşatma: Direwolf Pergamon Status'u Nasıl Çatlattı
Buz Kırıldı – Pergamon Status Diş Ticaret AŞ’ye Ransomware Kuşatması
Pergamon Status Diş Ticaret AŞ, Nisan 2001’de kuruldu ve 12 Kasım 2014’ten itibaren Borsa İstanbul’da PSDTC koduyla işlem görüyor. Merkezi İzmir'de bulunan şirket, dayanıklı ve dayanıksız tüketim malları alanında dış ticaret faaliyetleri yürütüyor. 22 çalışanı ile mütevazı görünen bu yapı, Türkiye’nin dış ticaret zincirinde stratejik bir rol üstleniyor.
Çeşitli finansal kaynaklara göre şirketin Temmuz 2025 itibarıyla piyasa değeri yaklaşık 740 ila 855 milyon TRY (≈15,8 ila 18,2 milyon EUR) aralığında. Son 12 aylık geliri 32,58 milyon TRY (≈958.000 EUR) ve net kârı 36,23 milyon TRY (≈1,07 milyon EUR) olarak raporlandı. Hisse fiyatı ise 106,50 TRY (≈3,13 EUR).
Pergamon Status, 130.000'in üzerinde gümrük beyanı, 976 aktif müşteri ve 19 tedarikçi ile dış ticaretin kritik oyuncularından biri. Öne çıkan iş ortakları arasında Keller & Kalmbach GmbH, Würth Industrie Service GmbH & Co KG ve Artistic Fabric Mills (Private) Ltd. yer alıyor.
Ancak Mayıs 2025’te sahneye yeni bir tehdit çıktı: Direwolf adlı ransomware grubu. Bu grup, ChaCha20 ve Curve25519 gibi güçlü şifreleme algoritmalarıyla sistemleri kilitleyerek çifte şantaj taktiği uyguluyor. Veri hırsızlığı ile başlayıp, ödeme yapılmazsa sızdırılan bilgileri Tor tabanlı karanlık ağ portalında yayımlama tehdidinde bulunuyor.
27 Mayıs–8 Temmuz 2025 tarihleri arasında Direwolf toplam 21 kurban duyurdu; saldırı ile veri sızıntısı arasındaki ortalama süre 13,1 gün oldu. Pergamon Status’a yönelik saldırıda yaklaşık 50 GB’lık kritik veri çalındı: Oracle veritabanları, mali tablolar, ihracat/ithalat kayıtları, vergi belgeleri ve ISO denetim raporları. Bir örnek veri seti 20 Temmuz’da paylaşıldı, tam veri sızdırma tarihi ise 30 Temmuz 2025 olarak açıklandı.
Şirketin güvenlik ekibi, 20 Temmuz 2025 saat 12:55 UTC'de, dahili sistemlerdeki şifrelenmiş dosyaları tespit etti. Ancak artık çok geçti. Kuşatma sessizce başlamıştı. Direwolf saldırmıştı.
Sessiz Sızma – Buz Nasıl Kırıldı?
20 Temmuz 2025 tarihinde, Direwolf Tor tabanlı sızdırma portalında Pergamon Status’a ait dosyaların listesini yayımlayarak resmi şantaj sürecini başlattı. Aynı gün saat 12:55 UTC’de, şirketin güvenlik ekibi dahili sistemlerde şifrelenmiş dosyaları tespit etti – o anda saldırı çoktan başlamış, büyük zarar verilmişti.
Aşağıdaki olaylar zinciri, Direwolf’un bilinen taktik, teknik ve prosedürlerine (TTP) dayanan tahmini bir saldırı zaman çizelgesidir:
15 Temmuz 2025, 03:20 UTC (tahmini): 800’den fazla başarısız Uzak Masaüstü (RDP) girişimi, muhtemelen bulletproof barındırma hizmetinden. Bu, ağda zayıf noktaların aranmasıydı.
15–18 Temmuz (tahmini): Açık RDP portlarının ve SMB/CIFS paylaşımlarının taranmasıyla ağ keşfi yapıldı, Pergamon’un iç yapısı haritalandırıldı.
18 Temmuz (tahmini):Kimlik bilgisi toplama araçları (ör. Mimikatz) kullanılarak domain admin erişimi kazanıldı. Ardından Pass-the-Hash ile ayrıcalıklar yükseltildi.
18–20 Temmuz (tahmini): Kritik sistemlere yanal geçiş sağlandı: SAP S/4HANA sunucusu ve Oracle veritabanına sessizce ulaşıldı. Geleneksel antivirüs çözümleri saldırıyı fark edemedi.
20 Temmuz sabah erken saatler (tahmini): Yaklaşık 50 GB veri (finans kayıtları, vergi belgeleri, lojistik dökümleri) HTTPS üzerinden Tor ağına aktarıldı. Tahmini bant genişliği: 500 Mbps – transfer süresi: yaklaşık 4 saat.
20 Temmuz, 00:45 UTC (tahmini): ChaCha20-Poly1305 şifreleme rutinleri devreye girdi.
20 Temmuz, 00:52 UTC (tahmini): “howl.txt” fidye notu, tüm klasörlerde belirdi – Direwolf'un dijital savaş ilanı.
Pergamon Status saldırıyı fark ettiğinde, ağın kalbi çoktan şifrelenmiş ve kritik veriler dışarı aktarılmıştı. Direwolf, fidyenin 48 saat içinde ödenmesini, aksi takdirde tüm bilgilerin 30 Temmuz'da yayımlanacağını duyurdu.
Buz artık çatlamıştı. Ve şirket, çoktan dijital bir uçurumun kenarına gelmişti.
Darbenin Ardından – Parçalanmış Bir Ağın Yankıları
20 Temmuz 2025 sabahı, Pergamon Status sunucularında beliren “howl.txt” dosyası her şeyi değiştirdi. Şirketin kritik belgeleri şifrelenmişti, Direwolf karanlık ağda ilk veri örneğini yayınlamış, ve fidyenin 48 saat içinde ödenmemesi halinde 50 GB’lık veri setinin 30 Temmuz'da tamamen sızdırılacağı tehdidinde bulunmuştu.
Olayın etkisi sadece dijital değil, operasyonel ve duygusaldı. Kısa süre içinde kaos ortaya çıktı:
Sipariş süreçleri durma noktasına geldi(tahmini): Şirketin SAP S/4HANA altyapısı, aylık binlerce teslimatı yöneten motor, işlevini yitirdi. Diş hekimi klinikleri ve laboratuvarlara yapılan sevkiyatlar askıya alındı.
Paydaş iletişimi kesintiye uğradı(tahmini): Pergamon Status, 976 müşteri ile iletişimi sürdürmek için acil çağrı hatları ve geçici e-posta adresleri oluşturmak zorunda kaldı.
Olay müdahale ekipleri aktive edildi(tahmini): Almanya veya İngiltere merkezli siber güvenlik uzmanları İzmir’e ulaştı, adli incelemeler başlattı, saldırı vektörlerini analiz etti ve fidye süreciyle ilgili stratejik yönlendirme sundu.
Yasal bildirim süreci başladı(tahmini): Türkiye'nin Kişisel Verileri Koruma Kanunu (KVKK) uyarınca, bu düzeyde bir veri ihlali BTK’ya ve etkilenen taraflara 72 saat içinde bildirilmeliydi.
Ancak geride kalan sadece zarar değildi. Direwolf’un izleri hâlâ ağın derinliklerindeydi:
Gizli yönetici hesapları, bozulmuş yedekleme dizinleri, ve Tor portalında ilerleyen bir geri sayım.
Şirket, zor bir tercihle karşı karşıyaydı:
Sessiz kalıp ödeme mi?
Yoksa mücadele edip tüm dünyaya açıklamak mı?
Her dakikada artan baskı ile Pergamon Status, tarihe geçecek bir siber krizin tam ortasındaydı.
Buzun Bedeli – Direwolf’un Gerçek Maliyeti Ne Oldu?
Direwolf’un 20 Temmuz 2025’te başlattığı saldırı, yalnızca ağları değil, Pergamon Status Diş Ticaret AŞ’nin mali yapısını da hedef aldı. Fidye talepleri, müdahale süreci, operasyonel kesintiler ve yasal sorumluluklar bir araya geldiğinde şirket milyonlarca liralık bir darbe aldı. Aşağıda, olayın tahmini mali etkisi yer alıyor.
Fidye Talebi
Direwolf’un geçmiş vakalarında fidye talepleri genellikle yaklaşık 500.000 USD seviyesinde gerçekleşti. Bu rakam Temmuz 2025 kuruyla yaklaşık 460.000 EUR, yani 16 milyon TRY civarında.
Müdahale ve Kurtarma Süreci
Cloudwards.net kaynaklı verilere göre, şirketler siber saldırı sonrasında ortalama 2,73 milyon USD harcamaktadır. Bu maliyet BT uzmanları, adli analiz, sistem onarımı, iletişim, hukuk danışmanlığı ve içerik kurtarma hizmetlerini kapsamaktadır. Toplam yaklaşık 88 milyon TRY civarında tahmin edilmektedir.
Faaliyet Kaybı
Sistemlerin yaklaşık 24 gün boyunca devre dışı kaldığı varsayıldığında, günlük tahmini ciro olan 2.600 EUR (≈90.000 TRY) baz alınarak, faaliyet kesintisinden kaynaklanan toplam zarar yaklaşık 2,2 milyon TRY olarak öngörülmektedir.
Yasal Cezalar ve Hukuki Maliyetler
Kişisel verilerin sızdırılması nedeniyle KVKK (Kişisel Verileri Koruma Kanunu) kapsamında cezalar ve hukuk danışmanlık giderleri doğabilir. Ortalama olarak yıllık gelirin %2’si kadar ceza ve maliyetle karşılaşılabilir: yaklaşık 20.000 EUR (≈700.000 TRY).
Toplam Tahmini Zarar
Yaklaşık 107 milyon TRY
(≈3,3 milyon EUR)
Bu rakam, fidye ödenmediği varsayılsa dahi sistemin şifrelenmesi, veri kaybı ve operasyonel aksaklıklar nedeniyle oluşan doğrudan zararı temsil etmektedir. Reputasyon kaybı, müşteri güvenindeki sarsılma ve gelecekteki hukuki süreçler bu hesaplamaya dahil değildir.
Son Direniş – Cy-Napea® ile Gerçekleşecek Zaferin Hikâyesi
Pergamon Status’un paramparça olan dijital ağı hâlâ duman altındayken sahneye yeni bir koruyucu çıktı: Cy-Napea®, Aurora Consolidated Ltd.’nin parlak siber savunma kalesi. Sayısız saldırıya karşı geliştirilmiş bu platform, verinin her köşesini korumak için birleşik bir SaaS sistemi sunuyordu: Gelişmiş Tehdit Önleme, EDR/XDR/MDR, değiştirilemez yedekleme sistemleri ve çok daha fazlası. Direwolf’un tehdidi büyürken, İzmir’in savunucuları bu dijital surlarda umut buldu.
Gecenin en karanlık anında, ilk oltalama e-postası düştüğünde Cy-Napea®’nin Siber Farkındalık Eğitimleri devreye girdi. Artık farkındalığı yüksek olan çalışanlar adeta nöbetteydi:
Satın alma birimindeki bir çalışan, sahte bir sevkiyat faturasını duraksayarak inceledi.
Lojistik koordinatörü, sahte BT destek çağrısının karakteristik izlerini tanıdı.
Tüm personel acil durum kanalına yönelerek şüpheli aktiviteyi bildirdi. Bir tek parolanın bile sızmasına izin verilmedi.
İnsan duvarı devreye girdi ve Direwolf’un girmesi gereken kapı çoktan kapanmıştı.
Bu sırada gelen kutularında, Cy-Napea®’nin Gelişmiş E-Posta Güvenliği yapay zekâ filtrelerini çalıştırdı. Kötü niyetli bağlantılar etkisiz hale geldi, kimlik sahtekârlığı girişimleri yüksek risk olarak işaretlendi. “Acil güncelleme” temalı sahte taşıyıcı e-postası hiçbir çalışana ulaşamadı—Direwolf’un tuzağı erişilemeyen bir gölgede kaldı.
Sızan düşman duvarları geçtiğinde, Cy-Napea®’nin EDR/XDR/MDR motorları derhal harekete geçti. Şüpheli süreçler—örneğin ChaCha20 şifreleme rutinleri—gerçek zamanlı olarak tespit edildi. Enfekte sistemler otomatik senaryolarla izole edildi. Cy-Napea®’nin kapsamlı izleme sistemiyle tehdit avcıları saldırganların tüm adımlarını takip ederek veri tünellerini henüz 50 GB'lık kaçak çıkmadan kapattı.
Ve en zor gecede bile—şifreleme saldırısı savunmasız sunuculara ulaştığında—Cy-Napea®’nin değiştirilemez yedekleri ve tek tıkla geri yükleme sistemi zamanı geri aldı. Yalıtılmış yedek görüntüler devreye girdi, SAP ve Oracle sistemleri saniyeler içinde ayağa kalktı. Haftalar sürecek kriz, birkaç saatlik ekran titreşimlerine ve sonunda gelen alkışlara dönüştü.
Yasal Bilgilendirme:
Bu anlatım Ransomware.live, HookPhish, StockAnalysis.com, Simply Wall St, Investing.com, İş Yatırım, Financial Times, Trustwave SpiderLabs, Cloudwards.net ve Cy-Napea® kaynaklarında yer alan bilgilere dayanmaktadır. Gerçek sonuçlar farklılık gösterebilir.
Kaynaklar:
