Türkiye’nin beyaz eşya devi, uluslararası fidye yazılımı grubu TheGentlemen tarafından siber saldırıya uğradığı iddia edilen şirketler arasında yer aldı. Çete, “talepleri karşılanmazsa şirkete ait hassas verileri yayımlayacağı” tehdidiyle Arçelik’i kamuya açık sızıntı sayfasında listeledi.
Olayın özeti
Karanlık ağdaki fidye yazılımı sızıntı sayfalarını izleyen Ransomware.live ve DeXpose gibi siber güvenlik kaynaklarına göre, TheGentlemen adlı çete Arçelik’i 6 Mayıs 2026’da kamuya açık leak sayfasında ifşa etti; saldırının tahmini gerçekleşme tarihi ise 1 Mayıs 2026 olarak gösterildi . Grup, talepleri karşılanmazsa ele geçirildiğini iddia ettiği verileri sızdırmakla tehdit ediyor .
Sızıntı sayfası, Arçelik’i 11,8 milyar dolarlık geliriyle Türkiye merkezli, çok uluslu bir beyaz eşya ve tüketici elektroniği üreticisi olarak tanımlıyor. Olay şu ana kadar Arçelik tarafından resmi olarak doğrulanmadı; KAP’a yapılmış bir bildirim de bulunmuyor. Yani saldırı iddiası henüz tek taraflı: Söz konusu açıklama, çetenin kendi sızıntı sayfasından geliyor.
TheGentlemen kimdir?
TheGentlemen, son aylarda dünya genelinde adı sıkça duyulan, kurumsal hedeflere yoğunlaşan bir fidye yazılımı grubu. Açık kaynaklı tehdit istihbaratı raporlarına göre grup, deneysel araçlar yerine olgun ve test edilmiş fidye yazılımı tekniklerine dayanıyor; Active Directory, yönetici grupları ve sanallaştırma platformları konusunda ileri düzey bilgi sergileyen, hesaplı bir saldırı yaklaşımı izliyor .
İlk erişimi genellikle ele geçirilmiş kimlik bilgileri, oltalama e-postaları veya yeterince korunmayan uzaktan erişim hizmetleri üzerinden sağlıyorlar; içeri girdikten sonra Advanced IP Scanner gibi meşru BT araçlarıyla kapsamlı keşif yapıp ayrıcalıklı hesapları hedef alıyorlar .
Aynı çetenin yalnızca 6 Mayıs’ta açıkladığı kurban listesinde Malezya’nın demiryolu şirketi KTMB, Arjantinli Triquim, İtalyan Media Consulting ve Trakya’da faaliyet gösteren Kınık Gross Toptan Market de yer alıyor. Yani Arçelik, küresel bir saldırı dalgasının bir parçası.
Bilinenler ve bilinmeyenler
Bilinen: Arçelik, çetenin kamuya açık sızıntı sayfasına eklendi. Saldırının 1 Mayıs civarında gerçekleştiği tahmin ediliyor.
Bilinmeyen: Hangi sistemlerin etkilendiği, ne tür ve ne miktarda verinin ele geçirildiği, müşteri verilerinin saldırıdan etkilenip etkilenmediği, fidye talebinin tutarı — bu bilgilerin hiçbiri henüz net değil. Çete, somut veri örneği yayımlamadı; Arçelik de açıklama yapmadı.
Tarihsel arka plan
Arçelik için bu, gündeme gelen ilk siber olay değil. Haziran 2023’te şirket, KVKK’ya yaptığı bildirimle bayi ve yetkili servis çalışanlarına ait bir iç uygulamanın (BizBize) saldırıya uğradığını duyurmuştu. O olayda yaklaşık 30 bin kişinin verisi etkilenmiş, müşteri verilerinde sızıntı olmadığı belirtilmiş ve saldırının kaynağı olarak başka şirketlere de hizmet veren bir tedarikçinin sistemi gösterilmişti .
Yeni iddianın bu önceki olayla ilgili olup olmadığı, tamamen ayrı bir sistem ihlali olup olmadığı şu an için belirsiz.
Sonuç
Önümüzdeki günlerde iki şey kritik olacak: Arçelik’in resmi açıklaması ve çetenin elinde gerçekten ne tür veriler bulunduğunu gösteren bir “kanıt sürümü” yayımlayıp yayımlamayacağı. Fidye yazılımı çetelerinin pazarlık taktiği genellikle aynı: Önce listeye ekle, sonra örnek veri sızdır, sonra ödeme yapılmazsa tüm veriyi yayımla. Arçelik henüz bu sürecin ilk basamağında.
Şirketle iş ilişkisi olan bayi, yetkili servis ve tedarikçilerin önümüzdeki dönemde olağandışı oltalama girişimlerine karşı dikkatli olması, parolaların değiştirilmesi ve iki faktörlü kimlik doğrulamanın aktif tutulması öneriliyor.
Not: Haber, ransomware.live, RedPacket Security ve DeXpose gibi karanlık ağ izleme platformlarının raporlarına dayanmaktadır. Arçelik’in resmi açıklaması yapıldığında tabloyu netleştirecek bilgiler eklenebilir.
