Deux membres de Scattered Spider condamnés pour l'attaque contre Transport for London

🏛️ Contexte

Le 22 juin 2026, la National Crime Agency (NCA) britannique a annoncé la condamnation de deux cybercriminels ayant attaqué le réseau informatique de Transport for London (TfL). L’article est publié sur le site officiel de la NCA.

👤 Acteurs identifiés

• Thalha Jubair, 20 ans, originaire de l’Est de Londres
• Owen Flowers, 18 ans, originaire de Walsall, West Midlands
• Tous deux membres du collectif criminel en ligne Scattered Spider

🗓️ Chronologie

• 31 août – 3 septembre 2024 : infiltration du réseau de TfL
• 6 septembre 2024 : première arrestation de Flowers pour l’attaque TfL
• 16 septembre 2024 : arrestation des deux individus à leur domicile par la NCA et la City of London Police (COLP)
• Mars et mai 2025 : Flowers viole ses conditions de liberté sous caution à deux reprises
• 22 juin 2026 : les deux accusés plaident coupable au Woolwich Crown Court
• 16 juillet : date prévue pour le prononcé de la peine

💥 Impact de l’attaque

• 29 millions de livres sterling de pertes et coûts de récupération pour TfL
• Les 28 000 employés de TfL ont dû se rendre physiquement dans un bureau pour réinitialiser leur mot de passe
• Accès aux données du système de remboursements Oyster
• Perturbation du système de remboursement clients
• Fermeture du système de demande de photocards Oyster pour enfants et jeunes

🏥 Victimes supplémentaires

Lors de l’arrestation de Flowers, des preuves ont été trouvées indiquant l’infiltration et l’endommagement des réseaux de deux entreprises américaines de santé :

• SSM Health Care Corporation
• Sutter Health

🔍 Éléments forensiques

• Appareils saisis au domicile de Flowers : laptops, ordinateurs de bureau, disques durs, clés USB
• Un laptop Acer contenait une capture d’écran montrant une connectivité réseau à l’infrastructure TfL
• Le laptop contenait des vidéos enregistrées par Flowers montrant Jubair accédant aux systèmes TfL
• Accès à un outil en ligne vendant des identifiants compromis
• Communications via Telegram et un outil collaboratif en ligne à espace de travail partagé

🕵️ Investigation

L’enquête a été menée par la NCA et la City of London Police, avec le soutien du West Midlands Regional Organised Crime Unit et de la British Transport Police.

📰 Type d’article

Communiqué officiel de la NCA relatant une opération de police aboutie, visant à informer sur la condamnation de deux membres de Scattered Spider et à souligner la capacité des forces de l’ordre britanniques à poursuivre les cybercriminels ciblant des infrastructures critiques nationales.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Scattered Spider (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK

TTP

• T1078 — Valid Accounts (Initial Access)
• T1589.001 — Gather Victim Identity Information: Credentials (Reconnaissance)
• T1530 — Data from Cloud Storage (Collection)
• T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)

Malware / Outils

• Telegram (tool)

🟢 Indice de vérification factuelle : 65/100 (haute)

• ✅ nationalcrimeagency.gov.uk — source reconnue (liste interne) (20pts)
• ✅ 6621 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Scattered Spider (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.nationalcrimeagency.gov.uk/news/cyber-criminals-who-hacked-into-transport-for-londons-computer-network-are-convicted