Dwóch nastolatków z Wielkiej Brytanii oskarżonych o włamanie do TfL powiązane z rozproszonym pająkiem

Cyberatak, który we wrześniu 2024 r. zakłócił działanie stron internetowych i usług Transport for London (TFL), doprowadził do postawienia zarzutów dwóm nastolatkom oskarżonym o współpracę z grupą hakerską Scattered Spider.

Dziewiętnastoletnia Thalha Jubair z East London i osiemnastoletni Owen Flowers z Walsall zostali aresztowani przez National Crime Agency 16 września 2025 roku i postawieni przed Sądem Magistrackim w Westminster. Prokuratorzy zarzucają im zmowę w celu włamania się do systemów TfL na podstawie ustawy o nadużyciach komputerowych (Computer Misuse Act), powodując szkody o wartości milionów dolarów i uszkadzając elementy infrastruktury krytycznej Londynu.

Incydent nie zatrzymał metra, ale zakłócił ważne usługi w jego pobliżu. Klienci mieli problemy z logowaniem się do kont Oyster i płatności zbliżeniowych, a aplikacje innych firm korzystające z interfejsów API TfL zostały wyłączone z sieci. Śledczy szacują, że do tej pory koszty przekroczyły 30 milionów funtów, obejmując naprawy, utracone przychody i modernizację zabezpieczeń.

Około 5000 użytkowników Oyster również miało ujawnione swoje dane osobowe, w tym dane bankowe i dane kontaktowe. TfL potwierdziło wyciek danych w swoich własnych oświadczeniach, co dodatkowo wzmocniło zarzuty stawiane oskarżonym.

W opublikowanym dzisiaj komunikacie prasowym NCA określiła śledztwo jako „długie i złożone śledztwo” w ostatnich latach. Paul Foster, zastępca dyrektora Krajowej Jednostki ds. Cyberprzestępczości, powiedział, że atak „spowodował znaczne zakłócenia i milionowe straty dla TfL, będącego częścią kluczowej infrastruktury narodowej Wielkiej Brytanii”.

Według komunikatu prasowego Departamentu Sprawiedliwości USA, Jubairowi postawiono zarzuty spisku mającego na celu popełnienie oszustwa komputerowego, oszustwa elektronicznego i prania pieniędzy, powiązane z ponad 120 naruszeniami sieci i wymuszeniami wobec 47 amerykańskich organizacji. Prokuratorzy twierdzą, że ofiary przekazały co najmniej 115 milionów dolarów okupu.

Grozi mu również dodatkowy zarzut odmowy podania haseł lub kodów PIN do urządzeń zajętych przez śledczych. Dotyczy to ustawy o regulacji uprawnień śledczych , która nakłada na podejrzanych obowiązek ujawnienia kluczy szyfrujących pod groźbą postawienia zarzutów.

Flowersowi grożą nie tylko londyńskie zarzuty. Dokumenty sądowe łączą go również z cyberatakami na amerykańskie placówki opieki zdrowotnej SSM Health Care Corporation i Sutter Health. Sprawy te podkreślają transgraniczny charakter Scattered Spider , grupy już powiązanej z głośnymi kampaniami ransomware i wymuszeń w Ameryce Północnej i Europie.

To nie pierwsze aresztowanie związane z cyberatakiem na TfL we wrześniu 2024 roku. 12 września 2024 roku NCA ogłosiła aresztowanie nastolatka w Walsall w Anglii, powiązanego z tym incydentem. Nazwisko podejrzanego nie zostało jednak ujawnione.

Jeśli chodzi o ostatnie aresztowania, Prokuratura Koronna stwierdziła, że ​​dowody są wystarczająco mocne, aby postawić obu mężczyzn przed sądem, podkreślając, że w interesie publicznym leży kontynuowanie sprawy, biorąc pod uwagę szkody dla TfL i ryzyko dla innych kluczowych usług.

W ciągu ostatnich dwóch lat Scattered Spider zyskał reputację grupy stosującej zaawansowane ataki socjotechniczne, często wymierzone w korporacyjny personel IT za pomocą phishingu i połączeń głosowych. Analitycy bezpieczeństwa uważają, że grupa składa się głównie z młodych hakerów, którzy luźno współpracują online, czasami nawiązując współpracę z innymi grupami cyberprzestępczymi.

Niemniej jednak, aresztowania te i wiek domniemanych hakerów pokrywają się z wynikami NCA z lutego 2024 roku , które ujawniły, że co piąty młody człowiek w Wielkiej Brytanii angażuje się w cyberprzestępczość. Agencja ujawniła, że ​​co piąte dziecko w wieku 10-16 lat w Wielkiej Brytanii uczestniczyło w działaniach online naruszających ustawę o nadużyciach komputerowych (Computer Misuse Act).