Marks & Spencer CEO'su fidye talep edilen küfür dolu bir e-posta aldı. 23 Nisan’da, çalışanlardan birinin e-posta hesabı kullanılarak gönderilen mesaj, hacker grubu DragonForce tarafından M&S CEO’su Stuart Machin’e iletildi.
Bozuk bir İngilizceyle yazılmış olan e-posta, Marks & Spencer’ın fidye yazılımı grubu tarafından gerçekten de hacklendiğini ilk kez doğrulamış oldu. Marks & Spencer bu olay yaşanana kadar siber saldırı altında olduğunu inkar etmişti.
Hackerlar e-postada "Çin’den İngiltere’ye kadar yol kat ettik ve acımasızca şirketinize tecavüz edip tüm sunucularınızı şifreledik" diye yazdı.
Siber saldırı şirkete tahmini olarak 300 milyon sterline mal oldu. Saldırının üzerinden altı haftadan fazla zaman geçmiş olmasına rağmen şirket hala online sipariş alamıyor.
BBC’nin siber güvenlik uzmanı tarafından incelenen şantaj e-postası, M&S CEO’suna ve yedi diğer yöneticiye gönderildi. Mesajın içinde ırkçı bir ifade de yer alıyor.
"Birbirimize yardımcı olabiliriz"
Fidye talebi içeren e-postada paylaşılan dark web bağlantısı, DragonForce’un mağdurlarının fidye görüşmelerine başlaması için oluşturduğu bir portala yönlendiriyor. Bu bağlantı, e-postanın gerçek olduğunu gösteren bir başka kanıt olarak değerlendiriliyor.
Linki paylaşan hackerlar şöyle yazdı: "Haydi partiyi başlatalım. Bize mesaj atın, bunu ikimiz için de hızlı ve kolay hale getirelim."
Suçlular ayrıca şirketin siber sigorta poliçesi hakkında bilgi sahibi olduklarını da ima etti ve şöyle yazdı: "Birbirimize çok güzel yardım edebileceğimizi biliyoruz :))"
M&S CEO’su ise şirkete fidye ödenip ödenmediği konusunda herhangi bir açıklama yapmayı reddetti.
Ateş püsküren bir ejderha
DragonForce, e-postayı ateş püsküren bir ejderha görseliyle sonlandırdı.
Bu e-posta, ilk kez Marks & Spencer’ın hacklenmesi ile DragonForce’un sorumluluğunu üstlendiği devam eden Co-op siber saldırısı arasındaki bağlantıyı doğruluyor.
Nisan ayı sonlarında başlayan bu iki siber saldırı, her iki perakendeci üzerinde büyük bir yıkıma neden oldu. Bazı Co-op rafları haftalarca boş kaldı, M&S ise operasyonlarının temmuz ayına kadar aksayacağını öngörüyor.
Hackerlar tespit edilemedi
Her ne kadar artık her iki saldırının da arkasında DragonForce’un olduğu bilinse de, saldırıları gerçekleştiren gerçek hackerların kim olduğu hâlâ belli değil.
DragonForce, karanlık ağdaki sitesinde siber suç ortağı olmak isteyenlere çeşitli hizmetler sunuyor ve karşılığında elde edilen fidyelerin yüzde 20’sini alıyor.
İsteyen herkes, mağdurların verilerini şifrelemek için DragonForce’un zararlı yazılımını kullanabiliyor veya kamuya açık şantajlar için onların karanlık ağ sitesini kullanabiliyor.
Çin, Rusya, Malezya
Suçluların karanlık ağdaki veri sızdırma sitesinde henüz Co-op ya da M&S hakkında hiçbir şey paylaşılmadı, ancak hackerlar geçen hafta BBC’ye yaptıkları açıklamada kendi sistemlerinde teknik sorunlar yaşadıklarını ve "çok yakında" bilgi yayımlayacaklarını söylediler.
Bazı araştırmacılar, DragonForce’un Malezya merkezli olduğunu söylerken, bazıları Rusya’dan olduklarını iddia ediyor. Ancak M&S’ye gönderilen e-postada Çin kökenli olduklarına dair bir izlenim veriliyor.
Ayrıca, bu saldırıların arkasında, Harrods’a yapılan saldırı da dahil olmak üzere, “Scattered Spider” (Dağınık Örümcek) adlı Batılı genç hackerlardan oluşan gevşek yapılı bir kolektifin yer alabileceğine dair spekülasyonlar artıyor.
Scattered Spider, klasik anlamda organize bir grup değil. Daha çok Discord, Telegram ve çeşitli forumlar gibi platformlarda organize olan bir topluluk. Siber güvenlik firması CrowdStrike tarafından bu yüzden “scattered” (dağınık) olarak tanımlandılar.
Scattered Spider üyelerinden bazılarının ABD ve Birleşik Krallık’tan gençler, hatta ergenlik çağında olduğu biliniyor.
Hackerlar cevap vermiyor
Bir BBC belgeselinde, Birleşik Krallık Ulusal Suç Ajansı (NCA), bu perakende saldırılarıyla ilgili soruşturmalarda odağı bu gruba çevirdiklerini açıkladı.
BBC, Co-op’u hackleyen kişilerle de konuştu. Bu kişiler kendilerinin Scattered Spider olup olmadıkları sorusuna cevap vermeyi reddetti. Verdikleri tek yanıt “Bu soruya cevap vermeyeceğiz” oldu.
İki hacker, ABD yapımı suç dizisi The Blacklist’ten karakterler olan “Raymond Reddington” ve “Dembe Zuma” adlarıyla anılmak istediklerini söylediler. Dizide bu karakterler, aranan bir suçlunun polisle iş birliği yaparak diğer suçluları yakalamasını konu alıyor.
