Três homens e uma mulher - com idades entre 17 e 20 anos - foram presos em Londres e nas Midlands.
Quatro pessoas foram presas pela polícia que investiga os ataques cibernéticos que causaram estragos na M&S e na Co-op.
A Agência Nacional de Combate ao Crime (NCA) diz que uma mulher de 20 anos foi presa em Staffordshire, e três homens - com idades entre 17 e 19 anos - foram detidos em Londres e nas Midlands Ocidentais.
Eles foram presos sob suspeita de crimes de uso indevido de computador, extorsão, lavagem de dinheiro e participação nas atividades de um grupo criminoso organizado.
Os quatro foram presos em suas casas nas primeiras horas de quinta-feira. Dispositivos eletrônicos também foram apreendidos pela polícia.
Um dos suspeitos - um homem de 19 anos - é da Letónia, os restantes são do Reino Unido.
Vizinhos descreveram uma grande operação policial na tranquila rua sem saída de Staffordshire, onde a mulher de 20 anos foi presa.
Eles disseram que dezenas de agentes da NCA, alguns usando balaclavas, chegaram nas primeiras horas desta manhã e arrombaram a porta de uma casa familiar. Mais tarde, eles foram vistos levando um grande número de dispositivos eletrônicos.
Paul Foster, chefe da Unidade Nacional de Combate ao Crime Cibernético da NCA, disse que as prisões foram um "passo significativo" em sua investigação.
"Mas o nosso trabalho continua, juntamente com parceiros no Reino Unido e no estrangeiro, para garantir que os responsáveis sejam identificados e levados à justiça", acrescentou.
Vizinhos dizem que agentes da NCA removeram dispositivos eletrônicos de uma propriedadeOs ataques - que começaram em meados de abril - causaram enormes transtornos para os dois varejistas.
Algumas prateleiras da Co-op ficaram vazias durante semanas, enquanto a M&S espera que suas operações sejam afetadas até o final de julho, com alguns sistemas de TI não totalmente operacionais até outubro ou novembro.
O presidente da M&S disse aos deputados esta semana que sentiu que o ataque foi uma tentativa de destruir o negócio. A varejista estimou que isso lhe custará 300 milhões de libras em lucros perdidos.
A Harrods também foi alvo de um ataque que teve menos impacto nas suas operações.
M&S foi o primeiro a ser violado. Uma enorme quantidade de dados privados pertencentes a clientes e funcionários foi roubada.
Os criminosos também implantaram um software malicioso chamado ransomware, embaralhando as redes de TI da empresa, tornando-as inutilizáveis, a menos que um resgate fosse pago.
A BBC revelou que os hackers enviaram um e-mail ofensivo ao chefe da M&S exigindo o pagamento.
Poucos dias depois que a M&S foi violada, a Co-op também foi alvo de criminosos que invadiram e roubaram os dados privados de milhões de seus clientes e funcionários.
A Co-op foi forçada a admitir que a violação de dados ocorreu depois que os hackers entraram em contato com a BBC com provas de que a empresa estava minimizando o ataque cibernético.
A BBC descobriu mais tarde, a partir dos criminosos, que a empresa desconectou a Internet das redes de TI na hora certa para impedir que os hackers implantassem ransomware, causando ainda mais interrupções.
Pouco depois de a Co-op anunciar que tinha sido atacada, a varejista de luxo Harrods disse que também tinha sido alvo e tinha sido forçada a desconectar os sistemas de TI da Internet para manter os criminosos afastados.
As quatro pessoas presas são um homem britânico de 17 anos das Midlands Ocidentais, um homem britânico de 19 anos de Londres, um homem letão de 19 anos das Midlands Ocidentais e uma mulher britânica de 20 anos de Staffordshire.
A NCA disse que sua operação foi apoiada por policiais da Unidade Regional de Crime Organizado das Midlands Ocidentais e da Unidade de Operações Especiais das Midlands Orientais.
