Le autorità britanniche hanno annunciato giovedì l’arresto di un ragazzo diciassettenne in relazione a un attacco informatico che ha colpito Transport for London (TfL).
Come il ragazzo hacker diciassettenne è stato arrestato
“Il ragazzo diciassettenne è stato arrestato con l’accusa di violazione del Computer Misuse Act in relazione all’attacco, che è stato lanciato contro TfL il 1° settembre“, ha dichiarato la National Crime Agency (NCA) del Regno Unito.
Il giovane, originario di Walsall, sarebbe stato arrestato il 5 settembre 2024, a seguito di un’indagine avviata dopo l’incidente.
L’agenzia di polizia ha dichiarato che il ragazzo diciassettenne, il cui nome non è stato rivelato, è stato interrogato e successivamente rilasciato su cauzione.
“Gli attacchi alle infrastrutture pubbliche come questo possono essere estremamente dirompenti e avere gravi conseguenze per le comunità locali e i sistemi nazionali“, ha dichiarato Paul Foster, vicedirettore e capo dell’Unità Nazionale per i Crimini Informatici della NCA, aggiungendo: “La rapida risposta da parte di TfL dopo l’incidente ci ha permesso di agire rapidamente, e siamo grati per la loro continua collaborazione con la nostra indagine, che è ancora in corso.“
TfL ha successivamente confermato che la violazione della sicurezza ha portato all’accesso non autorizzato ai numeri di conto bancario e ai codici di ordinamento di circa 5.000 clienti e che contatterà direttamente coloro che sono stati colpiti.
“Anche se finora l’impatto sui nostri clienti è stato minimo, la situazione è in evoluzione e le nostre indagini hanno rilevato che alcuni dati dei clienti sono stati compromessi“, ha dichiarato TfL.
L’agenzia dei trasporti pubblici di Londra richiederà inoltre a circa 30.000 membri del proprio staff di completare un controllo dell’identità informatica partecipando a un appuntamento presso una sede specificata di TfL per reimpostare la password e essere verificati di persona per l’accesso alle applicazioni e ai dati di TfL.
“Questo include alcuni nomi e dettagli di contatto dei clienti, compresi indirizzi email e indirizzi di casa dove forniti.”
Vale la pena notare che la polizia delle West Midlands aveva già arrestato un ragazzo diciassettenne, anch’esso di Walsall, nel luglio 2024 in relazione a un attacco ransomware contro MGM Resorts. L’incidente è stato attribuito al famigerato gruppo Scattered Spider.
Non solo Regno Unito
Attualmente non è chiaro se questi due eventi si riferiscano alla stessa persona; nel giugno scorso, un altro cittadino britannico di 22 anni è stato arrestato in Spagna per il suo presunto coinvolgimento in diversi attacchi ransomware condotti da Scattered Spider.
Il pericoloso gruppo criminale informatico, al quale era legato il ragazzo diciassettenne, fa parte di un collettivo più ampio chiamato The Com, un ecosistema eterogeneo di vari gruppi che si sono impegnati in crimini informatici, occupazioni illegali e violenza fisica; è anche noto con i nomi 0ktapus, Octo Tempest e UNC3944.
Secondo un nuovo rapporto di EclecticIQ, le operazioni ransomware di Scattered Spider si sono sempre più concentrate sulle infrastrutture cloud all’interno dei settori assicurativo e finanziario, facendo eco a un’analisi simile di Resilience Threat Intelligence nel maggio 2024.
Il gruppo ha una storia ben documentata di accesso persistente agli ambienti cloud tramite tattiche sofisticate di ingegneria sociale, nonché l’acquisto di credenziali rubate, esecuzioni di scambi di SIM e l’uso di strumenti nativi del cloud.
“Scattered Spider utilizza frequentemente tecniche di ingegneria sociale basate su telefonate, come il phishing vocale (vishing) e il phishing tramite messaggi di testo (smishing), per ingannare e manipolare gli obiettivi, principalmente indirizzandosi ai servizi IT e agli amministratori delle identità“, ha dichiarato il ricercatore di sicurezza Arda Büyükkaya, concludendo: “Il gruppo criminale informatico sfrutta strumenti cloud legittimi come la Special Administration Console e Data Factory di Azure per eseguire comandi da remoto, trasferire dati e mantenere la persistenza, evitando al contempo di essere rilevati.”
