Dois membros do grupo cibercriminoso Scattered Spider se declararam culpados de um ciberataque à Transport for London (TfL) que causou grandes interrupções de serviço e resultou em perdas estimadas em 29 milhões de libras. Thalha Jubair, de 20 anos, e Owen Flowers, de 18 anos, admitiram seus papéis na invasão da rede interna da TfL entre 31 de agosto e 3 de setembro de 2024.
Contexto e impacto do ataque
O ataque impactou sistemas críticos e forçou a organização a implementar medidas de remediação de emergência em toda a sua infraestrutura. De acordo com investigadores da Agência Nacional de Crimes do Reino Unido (NCA) e da Polícia da Cidade de Londres (COLP), os atacantes ganharam acesso não autorizado aos sistemas da TfL, desencadeando uma operação de redefinição de senha em larga escala afetando aproximadamente 28.000 funcionários.
Os funcionários foram obrigados a comparecer aos escritórios físicos para reautenticação, destacando a gravidade do comprometimento e a perda de confiança nos sistemas internos de identidade. A violação também expôs dados vinculados ao sistema de reembolso do cartão Oyster da TfL. Essa interrupção atrasou os reembolsos aos clientes e desativou temporariamente o sistema de solicitação de cartão fotográfico Oyster usado por crianças e jovens.
Evidências forenses e investigação
A forense digital desempenhou um papel crítico na investigação. Quando Flowers foi preso em 6 de setembro de 2024, as autoridades apreenderam vários dispositivos, incluindo laptops, drives externos e armazenamento USB. Um laptop Acer continha uma captura de tela mostrando conectividade ativa com a infraestrutura da TfL, fornecendo evidência direta de acesso não autorizado.
Investigadores também descobriram que Flowers havia usado marketplaces online para acessar ou comprar credenciais comprometidas, sugerindo que técnicas de intrusão baseadas em credenciais foram usadas durante o ataque. Evidências adicionais incluíam vídeos gravados mostrando Jubair navegando ativamente nos sistemas da TfL durante a violação. O par coordenou via Telegram e outras ferramentas colaborativas online, indicando uma execução de ataque estruturada em tempo real.
Conexões internacionais e táticas
Análises posteriores vincularam Flowers a intrusões que visavam organizações de saúde nos Estados Unidos, incluindo SSM Health Care Corporation e Sutter Health, demonstrando a pegada de direcionamento internacional mais ampla do grupo. Isso se alinha com as táticas conhecidas do Scattered Spider, que frequentemente envolvem engenharia social, roubo de credenciais e direcionamento de grandes empresas e infraestrutura crítica.
Flowers foi posteriormente libertado sob fiança, mas violou as condições duas vezes em 2025, levantando preocupações sobre o comportamento de risco contínuo durante o período de investigação. Ambos os indivíduos, que deveriam comparecer ao tribunal de Woolwich Crown Court, se declararam culpados no início dos procedimentos e estão programados para serem sentenciados em 16 de julho de 2026.
Implicações para infraestrutura crítica
Funcionários das forças de segurança enfatizaram o impacto real do cibercrime, particularmente quando a infraestrutura crítica é visada. O ataque interrompeu serviços essenciais de transporte público e impôs custos significativos de recuperação. As autoridades também destacaram a tendência crescente de cibercriminosos jovens e falantes de inglês se juntando a grupos de ameaças organizados como o Scattered Spider.
Recomendações para organizações
O caso sublinha a importância do relatório de incidentes precoce e da resposta coordenada entre organizações e forças policiais. Funcionários notaram que a cooperação da TfL foi um fator chave na investigação e processamento bem-sucedidos. As organizações são aconselhadas a fortalecer os controles de segurança de identidade, monitorar o abuso de credenciais e implementar procedimentos rápidos de resposta a incidentes para mitigar ameaças semelhantes.