Due adolescenti del Regno Unito accusati di hacking della TfL collegato a un ragno sparso

L'attacco informatico che ha interrotto i siti web e i servizi di Transport for London (TFL) nel settembre 2024 ha portato all'incriminazione di due adolescenti accusati di collaborare con il gruppo di hacker Scattered Spider.

La diciannovenne Thalha Jubair di East London e il diciottenne Owen Flowers di Walsall sono stati arrestati dalla National Crime Agency il 16 settembre 2025 e condotti davanti alla Westminster Magistrates' Court. I pubblici ministeri sostengono che i due abbiano cospirato per violare i sistemi di TfL ai sensi del Computer Misuse Act, causando danni per milioni di dollari e colpendo parti delle infrastrutture critiche di Londra.

L'incidente non ha interrotto il servizio della metropolitana, ma ha interrotto importanti servizi nelle sue vicinanze. I clienti hanno avuto difficoltà ad accedere ai conti Oyster e ai pagamenti contactless, e le app di trasporto di terze parti che si basano sulle API di TfL sono state disattivate. Gli investigatori stimano costi per oltre 30 milioni di sterline finora, tra interventi di ripristino, mancati ricavi e aggiornamenti della sicurezza.

Anche i dati personali di circa 5.000 utenti Oyster, tra cui dati bancari e contatti, sono stati divulgati. TfL ha confermato la fuga di dati nelle sue stesse comunicazioni, avvalorando ulteriormente le accuse contro gli imputati.

Nel comunicato stampa pubblicato oggi, la NCA ha descritto l'indagine come "un'indagine lunga e complessa" rispetto agli ultimi anni. Paul Foster, vicedirettore della National Cyber ​​Crime Unit dell'agenzia, ha affermato che l'attacco "ha causato notevoli disagi e milioni di perdite a TfL, parte dell'infrastruttura nazionale critica del Regno Unito".

Secondo un comunicato stampa del Dipartimento di Giustizia degli Stati Uniti, Jubair è accusato di associazione a delinquere finalizzata a commettere frode informatica, frode telematica e riciclaggio di denaro, in relazione a oltre 120 violazioni di rete e a estorsioni ai danni di 47 organizzazioni statunitensi. I pubblici ministeri affermano che le vittime hanno pagato riscatti per almeno 115 milioni di dollari.

Dovrà inoltre rispondere di un'ulteriore accusa per essersi rifiutato di fornire password o PIN per i dispositivi sequestrati dagli investigatori. Tale accusa rientra nel Regolamento sui poteri investigativi (Regulation of Investigatory Powers Act) , che obbliga gli indagati a rivelare le chiavi di crittografia, pena l'incriminazione.

Flowers non deve affrontare solo le accuse di Londra. Documenti giudiziari lo collegano anche ad attacchi informatici contro i fornitori di servizi sanitari statunitensi SSM Health Care Corporation e Sutter Health. Questi casi evidenziano la natura transfrontaliera di Scattered Spider , un gruppo già associato a campagne di ransomware ed estorsioni di alto profilo sia in Nord America che in Europa.

Questo non è il primo arresto collegato all'attacco informatico a TfL del settembre 2024. Il 12 settembre 2024, la NCA ha annunciato l'arresto di un adolescente a Walsall, in Inghilterra, in relazione all'incidente. Tuttavia, il nome del sospettato non è stato reso noto.

Per quanto riguarda gli ultimi arresti, il Crown Prosecution Service ha affermato che le prove erano sufficientemente solide per portare entrambi gli uomini in tribunale, sottolineando che è nell'interesse pubblico perseguire il caso, visti i danni subiti da TfL e il rischio per i servizi essenziali in senso più ampio.

Negli ultimi due anni, Scattered Spider si è guadagnato una reputazione per i suoi sofisticati attacchi di ingegneria sociale, spesso mirati al personale IT aziendale tramite phishing e chiamate vocali. Gli analisti della sicurezza ritengono che il gruppo sia composto in gran parte da giovani hacker che collaborano liberamente online, a volte sovrapponendosi ad altri gruppi di criminali informatici.

Tuttavia, questi arresti e l'età dei presunti hacker sono in linea con i risultati dell'NCA del febbraio 2024 , che hanno rivelato che 1 giovane su 5 nel Regno Unito è coinvolto in reati informatici. L'agenzia ha rivelato che un minore su cinque di età compresa tra 10 e 16 anni nel Regno Unito ha partecipato ad attività online che violano il Computer Misuse Act.