scattered spider condannati

Scattered Spider, due hacker condannati per l’attacco a Transport for London

🛡️ Executive Summary

  • Owen Flowers e Thalha Jubair hanno compromesso 148 sistemi TfL, causando disservizi, furto di dati e costi stimati in 29 milioni di sterline.
  • Le indagini hanno collegato i due giovani a chat Telegram, infrastrutture condivise e ulteriori intrusioni contro sanità e infrastrutture critiche statunitensi.
  • Le condanne britanniche e le accuse americane mostrano l’efficacia della cooperazione internazionale contro gruppi distribuiti specializzati in social engineering ed estorsione.

Owen Flowers, 18 anni, e Thalha Jubair, 20 anni, sono stati condannati dal Woolwich Crown Court a cinque anni e sei mesi di carcere ciascuno per l’attacco informatico che colpì Transport for London tra agosto e settembre 2024. I due giovani, collegati al collettivo Scattered Spider, avevano ammesso la responsabilità il 22 giugno 2026. L’intrusione rese indisponibili 148 sistemi, costrinse migliaia di dipendenti a reimpostare fisicamente le password e provocò danni stimati in 29 milioni di sterline. Le indagini hanno inoltre aperto nuovi procedimenti negli Stati Uniti per attacchi contro sanità, infrastrutture critiche e tribunali federali.

L’attacco a Transport for London paralizzò 148 sistemi

L’operazione contro Transport for London si sviluppò tra il 31 agosto e il 3 settembre 2024 e interessò un’infrastruttura essenziale per il funzionamento della capitale britannica. Gli attaccanti riuscirono a compromettere 148 sistemi e obbligarono circa 27.000 dipendenti a completare di persona il reset delle credenziali, una misura necessaria per impedire ulteriori accessi non autorizzati. I disservizi coinvolsero Dial-a-Ride, utilizzato da persone vulnerabili, i pagamenti digitali, le carte di viaggio agevolate, le richieste per Oyster photocard, l’estensione del ticketing contactless e i rimborsi. L’incidente espose nomi, indirizzi email e indirizzi di residenza, mentre per circa 5.000 persone risultarono compromessi anche numeri di conto e codici bancari associati ai rimborsi Oyster. Le autorità hanno stimato in 29 milioni di sterline i costi diretti e indiretti dell’attacco, tra ripristino, indagini, interruzioni operative e rafforzamento delle difese. TfL evitò conseguenze ancora più gravi isolando rapidamente la rete: secondo le valutazioni depositate in tribunale, una chiusura completa del trasporto londinese avrebbe potuto produrre un impatto economico nell’ordine di decine di miliardi. Il caso conferma la capacità di Scattered Spider di colpire grandi organizzazioni senza affidarsi necessariamente a exploit tecnici sofisticati, privilegiando identità, help desk e ingegneria sociale, tattiche già descritte nell’analisi su Scattered Spider e le sue operazioni contro applicazioni SaaS.

La Section 3ZA porta a una delle condanne più gravi nel Regno Unito

Flowers e Jubair sono stati riconosciuti colpevoli ai sensi della Section 3ZA del Computer Misuse Act 1990, disposizione applicata agli attacchi capaci di provocare o creare un rischio significativo per l’economia, la sicurezza nazionale, la salute o il benessere delle persone. Si tratta di una delle prime applicazioni riuscite della sezione più severa della normativa britannica sul cybercrime e della seconda condanna complessiva ottenuta attraverso questo strumento. La scelta dell’accusa riflette la natura dell’obiettivo: Transport for London non è una semplice azienda privata, ma un’infrastruttura dalla quale dipendono mobilità, lavoro, servizi pubblici e assistenza a categorie fragili. Flowers era stato arrestato il 6 settembre 2024, appena tre giorni dopo la conclusione dell’intrusione, e le perquisizioni avevano portato al sequestro di laptop, desktop, hard disk e supporti USB. Il materiale digitale, insieme a chat Telegram e workspace utilizzati dagli operatori, ha consentito di ricostruire le attività svolte durante l’attacco. Jubair è stato identificato anche grazie a informazioni ottenute attraverso la cooperazione con autorità straniere. La sentenza segue una serie di arresti e incriminazioni che negli ultimi anni hanno colpito il collettivo, documentate nell’approfondimento sugli arresti nel Regno Unito legati a Scattered Spider e agli attacchi contro la sanità statunitense.

Flowers ammette anche attacchi contro ospedali statunitensi

Le indagini britanniche hanno collegato Owen Flowers anche a operazioni contro SSM Health Care Corporation e Sutter Health, due organizzazioni sanitarie statunitensi. Il giovane ha ammesso un’accusa di cospirazione nel primo caso e un tentato attacco nel secondo. Le conversazioni sequestrate mostrano che gli operatori erano consapevoli delle possibili conseguenze sui pazienti e discutevano apertamente del rischio che il blocco dei sistemi potesse mettere in pericolo persone anziane collegate a dispositivi medici. Gli investigatori hanno identificato collegamenti verso un server remoto utilizzato per lanciare le intrusioni e hanno associato i dispositivi di Flowers a tutti e tre gli attacchi analizzati. La componente sanitaria aggrava la rilevanza del procedimento perché gli attacchi contro ospedali possono interferire con cartelle cliniche, diagnostica, farmaci, comunicazioni e continuità delle cure. La National Crime Agency ha definito l’operazione la più ampia azione di contrasto al cybercrime mai condotta nel Regno Unito e sostiene che gli arresti abbiano degradato in modo significativo la capacità operativa del gruppo. La pressione investigativa era già aumentata nel 2025, quando Scattered Spider e Lapsus$ avevano subito una serie di arresti e perdite operative.

Jubair rischia nuove condanne negli Stati Uniti

Thalha Jubair è coinvolto anche in un procedimento federale statunitense reso pubblico nel New Jersey nel settembre 2025. L’accusa gli attribuisce un ruolo in circa 120 intrusioni di rete condotte tra maggio 2022 e settembre 2025, con almeno 47 organizzazioni statunitensi identificate come vittime. I capi di imputazione comprendono cospirazione per frode informatica, frode telematica e riciclaggio di denaro. Secondo i pubblici ministeri, le operazioni avrebbero generato pagamenti di riscatto superiori a 115 milioni di dollari, colpendo anche un’azienda attiva nelle infrastrutture critiche e sistemi collegati ai tribunali federali americani. Jubair avrebbe movimentato personalmente circa 8,4 milioni di dollari in criptovalute e, in caso di condanna su tutti i capi, potrebbe affrontare pene teoriche cumulative fino a 95 anni. L’eventuale estradizione non risulta ancora definita pubblicamente, ma il procedimento mostra come le attività del collettivo siano state ricostruite attraverso più giurisdizioni. Scattered Spider, noto anche come Octo Tempest, UNC3944 e 0ktapus, opera attraverso reti fluide di giovani criminali specializzati in SIM swapping, furto di identità, vishing e compromissione degli account aziendali, un modello già analizzato nell’articolo su Octo Tempest e l’evoluzione del gruppo verso l’estorsione finanziaria.

Il riciclaggio da 43 milioni mostra la struttura finanziaria delle frodi online

Annuncio

Un procedimento separato negli Stati Uniti riguarda Zhuoying Chen, 27 anni, e Haojie Zhang, 38 anni, accusati di aver gestito una rete dedicata al riciclaggio dei proventi di frodi di investimento online. Tra il 2020 e il 2022, il gruppo avrebbe trasferito almeno 43 milioni di dollari verso conti bancari cinesi attraverso 140 rapporti finanziari intestati a circa 45 società di comodo. Lo schema utilizzava social network e applicazioni di messaggistica per avvicinare le vittime, costruire rapporti di fiducia e mostrare falsi profitti attraverso piattaforme di investimento manipolate. Dopo i primi versamenti, le persone venivano spinte a investire somme sempre maggiori, fino alla sottrazione completa dei fondi. Chen e Zhang rischiano fino a vent’anni di carcere per cospirazione finalizzata al riciclaggio. Sebbene il caso non sia direttamente collegato all’attacco TfL, illustra l’altra componente essenziale del cybercrime: trasformare denaro ottenuto attraverso estorsioni, frodi e intrusioni in fondi apparentemente leciti. Le società di facciata, i conti mule e i trasferimenti internazionali permettono alle organizzazioni criminali di separare chi conduce l’attacco da chi monetizza i proventi, imponendo alle autorità di ricostruire flussi finanziari distribuiti tra banche, criptovalute e differenti ordinamenti.

Le condanne indeboliscono il gruppo ma non eliminano il modello Scattered Spider

La National Crime Agency ritiene che gli arresti abbiano sostanzialmente fermato l’attività del nucleo coinvolto nell’operazione TfL, ma il nome Scattered Spider può continuare a essere utilizzato da soggetti differenti. Il collettivo non ha mai avuto una struttura gerarchica paragonabile a quella di un’organizzazione ransomware tradizionale: funziona come una comunità distribuita, nella quale competenze, identità, canali Telegram e accessi compromessi vengono condivisi tra operatori temporanei. Per questa ragione la rimozione di singoli membri riduce capacità e fiducia interna, ma non elimina le tecniche che hanno reso il gruppo efficace. Le organizzazioni devono continuare a proteggere help desk, procedure di reset, identità privilegiate e operatori telefonici, applicando controlli fuori banda, autenticazione resistente al phishing e verifiche rafforzate per ogni modifica alle credenziali. Le condanne di Flowers e Jubair rappresentano un risultato giudiziario significativo, ma il loro valore operativo dipenderà dalla capacità delle autorità di mantenere la cooperazione internazionale e colpire contemporaneamente infrastrutture, reclutatori, riciclatori e canali di monetizzazione.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto