В Великобритании арестованы двое подростков, предположительно связанных с группировкой Scattered Spider.

Rehub

CEO
Легенда
Регистрация
01.08.25
Сообщения
1,073
Реакции
626
В Великобритании арестованы два подростка, предположительно причастных к кибератаке на транспортную компанию Лондона в августе 2024 года.

18-летний Оуэн Флауэрс (Owen Flowers) из Уолсолла и 19-летняя Талха Джубаир (Talha Jubair) из Восточного Лондона, предположительно являющиеся членами печально известной хакерской группы Scattered Spider, должны сегодня явиться в Вестминстерский магистратский суд.

Флорса ранее арестовывали за предполагаемое участие в атаке на транспортную компанию Лондона в сентябре 2024 года, но после допроса сотрудниками Национального агентства по борьбе с преступностью Великобритании он был освобожден под залог.

С тех пор следователи NCA обнаружили дополнительные доказательства, потенциально связывающие Флауэрса с атаками на американские медицинские компании.

Двое подозреваемых привлечены к ответственности за неправомерное использование компьютерных данных и мошенничество в рамках расследования взлома лондонского агентства общественного транспорта. Кроме того, Флауэрсу предъявлены обвинения в сговоре с целью атаки на сети SSM Health Care Corporation и Sutter Health в США.

«Эта атака привела к значительным сбоям в работе и многомиллионным убыткам для TfL, являющейся частью критически важной национальной инфраструктуры Великобритании», — заявил заместитель директора Пол Фостер, глава Национального отдела по борьбе с киберпреступностью NCA.

«Ранее в этом году NCA предупреждало об усилении угрозы со стороны киберпреступников из Великобритании и других англоязычных стран, ярким примером которых является Scattered Spider».

Министерство юстиции США также предъявило сегодня обвинение Талхе Джубаиру в сговоре с целью совершения компьютерного мошенничества, отмывания денег и мошенничества с использованием электронных средств связи в связи с не менее чем 120 взломами сетей и вымогательскими атаками по всему миру в период с мая 2022 года по сентябрь 2025 года, которые затронули как минимум 47 американских организаций.

В иске, поданном в суд округа Нью-Джерси и обнародованном сегодня, утверждается, что жертвы выплатили Джубаиру и его сообщникам не менее 115 000 000 долларов США в качестве выкупа.

Кибератака на транспортную компанию Лондона
TfL сообщила о кибератаке, произошедшей в августе 2024 года, 2 сентября 2024 года, заявив, что не нашла доказательств утечки данных клиентов.

Хотя атака не повлияла на работу лондонских транспортных служб, она нарушила работу внутренних систем и онлайн-сервисов, а также способность TfL обрабатывать возвраты средств. В последующем обновлении TfL сообщила, что данные клиентов, включая имена, контактные данные и адреса, действительно были скомпрометированы во время инцидента.
 
Реакции: LockBit
?

????

Active
Local User
Регистрация
19.08.25
Сообщения
75
Реакции
160
Great young man! Very nice.
 

Rehub

CEO
Легенда
Регистрация
01.08.25
Сообщения
1,073
Реакции
626
Двое британских подростков предстанут перед судом по делу о прошлогодней кибератаке на транспортную систему Лондона — расследование связывает инцидент с группировкой Scattered Spider, а убытки Transport for London оценивает в десятки миллионов фунтов. На предварительном заседании обвиняемые подтвердили личности, дальнейшие слушания уже расписаны, и дело движется к разбирательству по существу.

По версии следствия, 19-летний Талха Джубаир из восточного Лондона и 18-летний Оуэн Флауэрс из Уолсолла действовали в сговоре и нарушили положения британского закона о неправомерном доступе к компьютерной информации. Их дело поступило в суд Саутуарк, где судья назначил промежуточное заседание на 21 ноября, а старт процесса — на 8 июня 2026 года. Обвинения последовали после задержаний, проведённых 16 сентября; официальное предъявление обвинений произошло через 2 дня.

Атака, начавшаяся 31 августа прошлого года, нарушала работу сервисов TfL почти 3 месяца. Сбой коснулся отображения актуальной информации по метро, истории поездок в личных кабинетах и проведения платежей в приложении Oyster. В результате компания оценила совокупный ущерб — прямые расходы и потери из-за простоя — в 39 млн фунтов (51,8 млн долларов). После инцидента около 5 тысяч клиентов получили уведомления о возможном несанкционированном доступе к их данным, включая номера банковских счетов, адреса электронной почты и домашние адреса.

Следствие полагает, что к взлому причастны участники киберпреступной группы Scattered Spider. Формально вина подростков не установлена, однако на этой стадии им вменяется сговор с целью совершить несанкционированные действия с компьютерными системами. Впереди — серия процессуальных заседаний, в ходе которых стороне обвинения предстоит обосновать связь фигурантов с атакой и показать, как именно злоумышленники нарушали работу инфраструктуры TfL, а защите — оспорить эти доводы.

Transport for London, в свою очередь, продолжает восстановительные работы и усиливает контроль доступа к критическим системам, акцентируя внимание на мониторинге транзакций и защите персональных данных. На период до слушаний компания намерена взаимодействовать со следствием и информировать затронутых клиентов, тогда как правоохранительные органы пытаются закрепить технические улики, объясняющие масштаб и длительность вмешательства.

Thalha Jubair
Owen Flowers
 
Реакции: user_on_rehub

Rehub

CEO
Легенда
Регистрация
01.08.25
Сообщения
1,073
Реакции
626
В Лондоне продолжается разбирательство по громкому делу о кибератаке на транспортную систему британской столицы. Суд рассмотрел первые процессуальные шаги в деле двух молодых людей, обвиняемых в причастности к взлому, который в прошлом году привёл к серьёзным сбоям в работе городского транспорта.

На заседании в уголовном суде Саутварка 19-летний Талха Джубаир и 18-летний Оуэн Флауэрс заявили о своей невиновности. Оба были задержаны осенью по месту жительства в Лондоне и Уолсолле сотрудниками Национального агентства по борьбе с преступностью. После повторного ареста их оставили под стражей. Флауэрс ранее уже попадал в поле зрения правоохранителей после атаки на транспортный оператор в 2024 году, но тогда его отпустили под залог.

После тех событий сотрудники агентства сообщили, что нашли дополнительные сведения, указывающие на возможную причастность Флауэрса к атакам на медицинские организации в Соединённых Штатах. В рамках текущего дела ему вменяют заговор с целью проникновения в сеть SSM Health Care Corporation и попытку аналогичного вмешательства в инфраструктуру Sutter Health. Все обвинения он отрицает.

Джубаиру дополнительно предъявлено обвинение за отказ передать следствию коды доступа к устройствам, изъятым во время обыска. Он тоже не признал свою вину. Американский Минюст в сентябре раскрыл материалы обвинения, где Джубаира связывают с компьютерными преступлениями.

Обоим фигурантам в Англии предъявлены наиболее тяжкие обвинения, связанные с подготовкой несанкционированных действий с компьютерными системами, создающих угрозу для общественной безопасности и национальной инфраструктуры. Максимальное наказание по таким эпизодам достигает пожизненного лишения свободы.

Представитель киберподразделения агентства Пол Фостер отмечал, что расследование затрагивает критически важные элементы городской инфраструктуры и потребовало значительных усилий. Ранее агентство предупреждало о росте активности англоязычных группировок, в том числе группы, известной под названием Scattered Spider, которой приписывают атаки в Великобритании и США.

Прокуратура Соединённого Королевства сообщила, что собрала достаточную доказательную базу для передачи дела в суд, подчеркнув важность его общественного значения. Тем временем подразделение агентства по борьбе с киберпреступлениями задействовано в большом числе расследований, включая инциденты, затронувшие Transport for London, Агентство юридической помощи, две структуры системы здравоохранения, а также сети трёх розничных компаний — Marks & Spencer, Co-op и Harrods. Действующие ограничения на освещение хода процесса запрещают публикации, которые могли бы повлиять на будущее решение присяжных.
 

Rehub

CEO
Легенда
Регистрация
01.08.25
Сообщения
1,073
Реакции
626
Хакерская группировка Scattered LAPSUS$ Hunters, которая в этом году шантажирует десятки корпораций и продаёт украденные данные, оказалась во многом построена вокруг 15-летнего подростка из Иордании. Под ником Rey он выступал техническим лидером и публичным лицом группы, а теперь, после расследования KrebsOnSecurity и разговора с его отцом, его реальная личность, по всей видимости, установлена — и сам подросток утверждает, что сотрудничает с правоохранительными органами.

Scattered LAPSUS$ Hunters (SLSH) считают объединением сразу трёх известных банд: Scattered Spider, LAPSUS$ и ShinyHunters. Их участники пересекаются в англоязычных киберпреступных чатах в Telegram и Discord. В мае 2025 года SLSH запустили масштабную кампанию социальной инженерии: злоумышленники звонили сотрудникам компаний и убеждали их подключить вредоносное приложение к корпоративному порталу Salesforce. Позже группа открыла собственный портал для слива данных и пригрозила опубликовать внутреннюю информацию примерно трёх десятков компаний, у которых, как утверждается, были украдены данные Salesforce. В числе жертв называли Toyota, FedEx, Disney/Hulu и UPS.

Отдельный вымогательский сайт, связанный с ShinyHunters, теперь угрожает слить похищенные данные, если Salesforce или отдельные пострадавшие компании не заплатят выкуп. На прошлой неделе канал SLSH в Telegram опубликовал новый призыв к «инсайдерам» — сотрудникам крупных компаний, готовым за долю от выкупа предоставить доступ к внутренним системам работодателя. Ранее группа уже пыталась искать информаторов, но в этот раз их объявление разошлось по соцсетям на фоне новости о том, что CrowdStrike уволила сотрудника за «слив» скриншотов внутренних систем хакерам SLSH. В CrowdStrike заявили, что инфраструктура компании не была скомпрометирована и что инцидент передан в правоохранительные органы.

До последнего времени участники SLSH в основном пользовались чужими шифровальщиками — из партнерских программ ALPHV/BlackCat, Qilin, RansomHub, DragonForce и других. Но недавно на своём канале группа объявила о запуске собственной схемы «ransomware-as-a-service» под брендом ShinySp1d3r. Эту платформу представил один из ключевых участников SLSH — администратор Telegram-канала под ником Rey. Раньше он был админом сайта для публикации слитых данных Hellcat — группировки, появившейся в конце 2024 года и связанной с атаками на Schneider Electric, Telefónica и Orange Romania.

В 2024 году Rey также возглавил очередную инкарнацию печально известного форума BreachForums, крупной англоязычной площадки для торговли украденными базами и инструментами для взлома. Этот форум уже несколько раз лишался доменов в результате операций ФБР и международных силовиков. В апреле 2025 года Rey публично писал в соцсетях об очередном изъятии доменов BreachForums. 5 октября 2025 года ФБР вновь объявило о захвате доменов площадки, назвав BreachForums крупным криминальным рынком, которым пользуются ShinyHunters и другие для торговли похищенными данными и вымогательства. По словам ведомства, ликвидация сайта «убирает важный узел», через который преступники монетизировали вторжения, искали сообщников и выбирали жертв в разных отраслях.

Как выяснилось, при всей своей опытности Rey допускал серьёзные ошибки операционной безопасности, которые и позволили аналитикам и журналистам выстроить цепочку до его настоящего имени и адреса. По данным Intel 471, под ником Rey он был активным пользователем разных возрождений BreachForums с февраля 2024 по июль 2025 года и оставил более 200 сообщений. Ранее он выступал там под другим псевдонимом — Hikki-Chan, а его первый пост касался данных, якобы украденных у Центров по контролю и профилактике заболеваний США (CDC).

В том же сообщении за февраль 2024 года Hikki-Chan указал для связи Telegram-аккаунт @wristmug. В мае 2024 года этот аккаунт в Telegram-чате «Pantifan» опубликовал скриншот письма-шантажа, где мошенники утверждали, что взломали его компьютер, записали его через веб-камеру во время просмотра порносайтов и угрожали разослать видео всем контактам, если не будет выплачен выкуп в биткоине. Такие массовые рассылки обычно включают реальный пароль, который жертва действительно использовала ранее. Подросток отреагировал на сообщение шутливым «Noooooo, I must be done guys», но при публикации скриншота закрасил только логин почты, оставив видимыми домен @proton.me и старый пароль.

Уникальный 15-символьный пароль из скриншота, по данным сервиса Spycloud, совпал только с одной учётной записью — адресом cybero5tdev@proton.me. Эти данные были дважды украдены в начале 2024 года после заражения устройства владельца информационным стилером, который выгреб все сохранённые логины, пароли и куки. Intel 471 связывает этот email с пользователем BreachForums под ником o5tdev. Поиск по этому нику в Google показывает архивы дефейсов сайтов, где o5tdev оставлял пропалестинские сообщения от имени команды Cyb3r Drag0nz Team.

Специалисты SentinelOne ранее описывали Cyb3r Drag0nz Team как хактивистскую группу, которая проводит DDoS-атаки, дефейсит сайты и публикует базы персональных данных. По их данным, группа заявляла об «утечке данных более чем миллиона граждан Израиля» и выкладывала многотомные архивы с личной информацией. Аналитики Flashpoint, в свою очередь, находят следы Telegram-аккаунта @05tdev, который в 2023 — начале 2024 года был активен в арабоязычных анти-израильских каналах вроде «Ghost of Palestine».

Flashpoint также указывает, что аккаунт Rey в Telegram (ID7047194296) активно общался в криминально-ориентированном канале «Jacuzzi». Там он делился личными деталями: рассказывал, что его отец — пилот авиакомпании, что ему 15 лет и что у семьи есть ирландские корни. В одном из сообщений он публиковал картинку с распространённостью фамилии Ginty, напрямую связывая себя с этим именем.

Spycloud, проанализировав данные украденных учёток, пришёл к выводу, что компьютер Rey — это общий Windows-ПК семьи в Аммане (Иордания). В слитых логинах фигурирует несколько пользователей с одной и той же фамилией Khader и указанным адресом в Аммане. В «автозаполнении» браузера из этих данных есть анкета 46-летнего Zaid Khader, где в поле девичьей фамилии матери значится Ginty. Те же данные показывают частые посещения внутренних сайтов сотрудников авиакомпании Royal Jordanian Airlines — то есть по профилю Zaid действительно похож на пилота национального перевозчика.

Сопоставив эти фрагменты, исследователи пришли к выводу, что под ником Rey скрывается Саиф Аль-Дин Хадер (Saif Al-Din Khader). Не сумев связаться с ним напрямую, KrebsOnSecurity написали письмо его отцу Зайду, объяснив, что его сын, судя по всему, глубоко вовлечён в серьёзный киберпреступный заговор. Спустя меньше двух часов журналист получил сообщение в Signal от самого Саифа: по его словам, отец посчитал письмо очередным скамом и просто переслал его сыну.

Саиф сообщил, что ему скоро исполнится 16 лет, и что о нём уже знают европейские правоохранительные органы. Он утверждает, что пытается выйти из Scattered LAPSUS$ Hunters, но «просто взять и исчезнуть» не может, поэтому сейчас занят тем, чтобы «зачистить всё, с чем он был связан, и двигаться дальше». На вопрос, почему тогда именно он отвечал за запуск новой вымогательской программы ShinySp1d3r, подросток ответил, что это по сути переработанная версия уже существующего шифровальщика Hellcat, дополненная с помощью инструментов ИИ: «Я по сути раздал исходники Hellcat».

По словам Саифа, в последнее время он сам вышел на контакт с аккаунтом Telegram, связанным с операцией правоохранительных органов Operation Endgame — масштабной кампанией против киберпреступных сервисов и их клиентов. Он настаивает, что уже сотрудничает с силовиками «как минимум с июня», и утверждает, что с сентября больше не участвовал «ни во взломах корпораций, ни в вымогательстве».

Подросток просит пока не публиковать о нём историю, утверждая, что это может сорвать его взаимодействие с правоохранительными органами и привлечь к нему «ненужное внимание», особенно если власти США и Европы ещё не вышли на контакт с правительством Иордании. По его словам, полицейские структуры сообщили, что взаимодействуют с несколькими странами по его запросу, но уже «прошла целая неделя» без каких-либо обновлений. Саиф показал скриншот, который должен подтверждать его обращение в Европол в конце прошлого месяца, однако назвать конкретных офицеров или официально подтвердить свои заявления он не смог, и журналистам не удалось их проверить.

«Мне всё равно, я просто хочу выйти из этого всего, даже если это закончится тюрьмой или чем угодно ещё», — сказал он. Пока неясно, чем закончится история подростка, который успел побывать администратором крупнейших киберпреступных площадок и лицом одной из самых громких вымогательских группировок года, но уже пытается договориться с теми, кто охотится за ним и его бывшими сообщниками.
 
Реакции: user_on_rehub
Войдите или зарегистрируйтесь для ответа.
Меню
Вход
Регистрация