Când discutăm despre atacuri cibernetice care afectează servicii publice, istoria recentă arată că nu este vorba doar despre anonimii hackeri din filme, ci despre organizații structurate capabile să blocheze instituții esențiale. Două adolescente din Regatul Unit, legate de gruparea Scattered Spider, au fost arestate sub suspiciunea implicării în atacul cibernetic din august 2024 asupra Transport for London (TfL). Cei doi tineri, Owen Flowers, 18 ani, din Walsall, și Thalha Jubair, 19 ani, din estul Londrei, urmează să fie prezentați astăzi la Westminster Magistrates Court. Cazul se înscrie într-un val mai larg de incidente și investigații transatlantice, care scot în evidență atât vulnerabilitățile infrastructurilor critice, cât și cooperarea între polițiile și procurorii din Marea Britanie și Statele Unite.
Owen Flowers fusese deja reținut în septembrie 2024 pentru presupusa implicare în atacul asupra TfL, dar fusese eliberat pe cauțiune după interogatorii ale Agenției Naționale pentru Crime (NCA). Investigațiile ulterioare ale NCA au găsit probe suplimentare care ar putea lega pe Flowers de atacuri informatice îndreptate și împotriva unor companii din sectorul sănătății din SUA. Atât Flowers, cât și Jubair se confruntă cu acuzații penale pentru utilizarea neautorizată a calculatoarelor și fraudă, ca parte a investigației privind breșa la agenția de transport londoneză. În plus, Flowers este acuzat de conspirație în legătură cu atacuri asupra rețelelor SSM Health Care Corporation și Sutter Health din Statele Unite.
Reprezentanții NCA, prin vocea adjunctului director Paul Foster, au subliniat impactul atacului asupra TfL, menționând perturbări semnificative și pierderi de milioane de lire, și au avertizat că amenințarea din partea criminalității cibernetice în țările vorbitoare de engleză este în creștere, Scattered Spider fiind un exemplu elocvent. Anchetele britanice se intersectează acum cu proceduri judiciare în SUA: Departamentul de Justiție american a înaintat astăzi acuzații împotriva lui Thalha Jubair pentru conspirații legate de fraudă informatică, spălare de bani și fraudă prin transferuri electronice. Plângerea din Districtul New Jersey, dezvăluită recent, leagă pe Jubair de cel puțin 120 de breșe de rețea și atacuri de tip extorcare îndreptate către 47 de organizații din SUA, în perioada mai 2022, septembrie 2025. Autoritățile americane susțin că victimele au plătit grupului cel puțin 115.000.000 de dolari în răscumpărări. Cifrele sunt impresionante, iar mesajul este clar: extorcările cibernetice pot produce pierderi financiare semnificative la nivel internațional.
Atacul asupra Transport for London, făcut public la 2 septembrie 2024, nu a afectat direct transportul de pasageri, dar a perturbat sistemele interne și serviciile online, inclusiv procesarea rambursărilor. Inițial, TfL a susținut că nu existau dovezi ale compromiterii datelor clienților; ulterior a recunoscut că date precum nume, detalii de contact și adrese au fost accesate în timpul incidentului. Contextul este îngrijorător: TfL deservește peste 8, 4 milioane de locuitori ai Londrei prin rețelele sale de suprafață, metrou și Crossrail, gestionate împreună cu Department for Transport. Rolul crucial al instituției face ca orice breșă să fie mai alarmantă, deoarece impactul nu este doar tehnic, ci și social și administrativ.
Nu este prima dată când TfL se confruntă cu astfel de probleme. În mai 2023, grupul Clop a sustras date ale peste 13.000 de clienți din servere MOVEit ale unui furnizor, ilustrând că lanțul de furnizori este o cale frecventă de acces pentru atacatori. Totodată, NCA a arestat în iulie alți patru suspecți considerați membri ai colectivului Scattered Spider, bănuiți că au vizat mari retaileri britanici precum Marks & Spencer, Harrods și Co-op. Pe scurt, modelul se repetă: grupuri organizate exploatează breșe, solicită răscumpărări și profită de relațiile complexe dintre companii și furnizorii lor.
Cazul evidențiază câteva teme esențiale: interconectivitatea infrastructurilor moderne, vulnerabilitatea lanțurilor de aprovizionare digitale și necesitatea cooperării internaționale între forțele de ordine pentru a urmări și sancționa atacurile cibernetice transfrontaliere. Dosarele penale din Marea Britanie și SUA arată că răspunsul nu se limitează la măsuri tehnice izolate, ci implică anchete complexe, schimb de informații și acțiuni judiciare coordonate. Pe măsură ce dosarele legate de Scattered Spider ajung în instanță, va fi important de urmărit ce probe și ce argumente vor prezenta procurorii pentru a demonstra conexiunile dintre membri și operațiunile internaționale atribuite acestora.
TfL, NCA și Departamentul de Justiție al SUA rămân actori activi în această procedură. Între timp, cifrele menționate, 8, 4 milioane de utilizatori TfL, peste 13.000 de clienți afectați anterior de Clop și suma de 115 milioane de dolari pretinsă în răscumpărări, oferă repere clare despre amploarea și consecințele acestor atacuri. Rămâne de văzut cum vor evolua procesele la Westminster și în Statele Unite și ce măsuri preventive vor adopta instituțiile vizate pentru a diminua riscurile viitoare.
TfL, data breșei și cele 115.000.000 de dolari revendicați apar aici ca repere ale cazului și ridică întrebări privind responsabilitățile companiilor și autorităților în protejarea datelor și a serviciilor esențiale. Considerați că sancțiunile actuale și cooperarea internațională sunt suficiente pentru a descuraja astfel de grupuri sau sunt necesare măsuri mai dure?
nu e doar despre hackeri „solitari”, deja se stia asta — grupuri organizate iau ținta pe infrastructuri; și nu e doar UK, exista cooperare internaționala mai veche între politie si procurori, vezi cazuri ransomeware care au dus la extrădări; btw cifrele alea cu 115 mil suna uriaș dar e posibil sa includă plăți facute de mai mulți ani și nu doar o singura operațiune; furnizorii sunt ținta preferata, deci companiile mari trebuie sa verifice lanțul de aprovizionare, patch management si accesul privilegiat, nu doar firewall-uri; pt sancțiuni — cred ca momentan e insuficient: legi mai dure, cooperare juridica rapida si pedepse certe ar descuraja, plus măsuri preventive (backup offline, segmentare rețea, simulări de atac). vezi si raportele Europol/NCA despre Scattered Spider si notele DOJ din cazurile recente, arata tipare: acces inițial prin credențiale furate, apoi lateral movement si exfiltrare. oricum, cineva trebuie sa plătească pentru vulnerabilități — public sau furnizorii. 😐🔒💬