Il 13 settembre 2024, le autorità britanniche hanno annunciato l'arresto di un diciassettenne in relazione a un attacco informatico che ha colpito Transport for London (TfL). Il giovane, originario di Walsall, è stato arrestato il 5 settembre 2024 con l'accusa di violazione del Computer Misuse Act in seguito a un'indagine avviata dopo l'incidente. Dopo essere stato interrogato, è stato rilasciato su cauzione.

L'attacco informatico ha comportato l'accesso non autorizzato ai dati bancari di circa 5.000 clienti di TfL, inclusi numeri di conto e codici di smistamento. TfL ha confermato che la violazione ha coinvolto anche nomi, indirizzi di contatto, email e indirizzi di residenza dei clienti. L'agenzia di trasporto pubblico di Londra ha inoltre richiesto a circa 30.000 membri del proprio staff di completare una verifica di identità IT, recandosi in una sede specifica di TfL per resettare la password e verificare l'accesso alle applicazioni e ai dati di TfL.

Paul Foster, direttore aggiunto dell'Unità Nazionale per il Crimine Cibernetico della National Crime Agency (NCA)

Ha dichiarato che gli attacchi alle infrastrutture pubbliche possono causare notevoli disagi e gravi conseguenze per le comunità locali e i sistemi nazionali. Ha elogiato la rapida risposta di TfL che ha permesso all'NCA di agire in tempi brevi e ha ringraziato l'agenzia per la cooperazione continua nelle indagini in corso.

È interessante notare che, nel luglio 2024, la polizia del West Midlands aveva già arrestato un altro diciassettenne di Walsall in relazione a un attacco ransomware contro MGM Resorts, attribuito al gruppo di cybercriminali noto come Scattered Spider. Non è chiaro se i due episodi coinvolgano la stessa persona.

Scattered Spider

Parte di un collettivo più ampio chiamato The Com, è conosciuto per le sue operazioni ransomware mirate a infrastrutture cloud nei settori assicurativo e finanziario. Il gruppo utilizza tecniche sofisticate di ingegneria sociale per ottenere accesso persistente agli ambienti cloud, acquistando credenziali rubate e sfruttando strumenti cloud nativi. Tecniche comuni includono il phishing vocale (vishing) e il phishing via SMS (smishing) per ingannare e manipolare i bersagli, principalmente desk di assistenza IT e amministratori di identità.

Secondo un recente rapporto di EclecticIQ

Le operazioni ransomware di Scattered Spider si concentrano sempre più sulle infrastrutture cloud, come confermato anche da un'analisi di Resilience Threat Intelligence del maggio 2024. Il gruppo sfrutta strumenti legittimi come la Special Administration Console di Azure e Data Factory per eseguire comandi da remoto, trasferire dati e mantenere la persistenza evitando la rilevazione.