De Britse autoriteiten maakten donderdag bekend dat ze een 17-jarige man hebben gearresteerd in verband met een cyberaanval op Transport for London (TfL).
“De 17-jarige man is aangehouden op verdenking van overtredingen van de Computer Misuse Act in verband met de aanval die op 1 september op TfL werd uitgevoerd”, aldus de Britse National Crime Agency (NCA).
De tiener, die uit Walsall komt, zou op 5 september 2024 zijn gearresteerd, nadat er na het incident een onderzoek was gestart.
Volgens de wetshandhavingsinstantie is de anonieme persoon verhoord en vervolgens op borgtocht vrijgelaten.
“Aanvallen op openbare infrastructuur zoals deze kunnen enorm verstorend zijn en ernstige gevolgen hebben voor lokale gemeenschappen en nationale systemen”, aldus plaatsvervangend directeur Paul Foster, hoofd van de National Cyber Crime Unit van de NCA.
“Dankzij de snelle reactie van TfL na het incident konden we snel handelen. We zijn dankbaar voor hun voortdurende medewerking aan ons onderzoek, dat nog steeds gaande is.”
TfL heeft inmiddels bevestigd dat de inbreuk op de beveiliging heeft geleid tot ongeautoriseerde toegang tot bankrekeningnummers en bankcodes van ongeveer 5.000 klanten en dat het bedrijf rechtstreeks contact zal opnemen met de getroffenen.
“Hoewel de impact op onze klanten tot nu toe beperkt is, verandert de situatie en hebben onze onderzoeken uitgewezen dat er toegang is verkregen tot bepaalde klantgegevens”, aldus TfL.
“Hieronder vallen enkele namen en contactgegevens van klanten, waaronder e-mailadressen en huisadressen, indien verstrekt.”
Het is vermeldenswaard dat de politie van West Midlands eerder een 17-jarige jongen, ook uit Walsall, in juli 2024 arresteerde in verband met een ransomware-aanval op MGM Resorts. Het incident werd toegeschreven aan de beruchte Scattered Spider-groep.
Het is momenteel niet duidelijk of deze twee gebeurtenissen naar dezelfde persoon verwijzen. In juni werd een andere 22-jarige Britse staatsburger gearresteerd in Spanje vanwege zijn vermeende betrokkenheid bij verschillende ransomware-aanvallen uitgevoerd door Scattered Spider.
De gevaarlijke e-crimegroep is onderdeel van een groter collectief genaamd The Com, een losjes ecosysteem van verschillende groepen die zich bezighouden met cybercriminaliteit, kraken en fysiek geweld. Het wordt ook gevolgd als 0ktapus, Octo Tempest en UNC3944.
Volgens een nieuw rapport van EclecticIQ richten de ransomware-activiteiten van Scattered Spider zich steeds meer op cloudinfrastructuren binnen de verzekerings- en financiële sector, wat overeenkomt met een soortgelijke analyse van Resilience Threat Intelligence in mei 2024.
De groep heeft een goed gedocumenteerde geschiedenis van het verkrijgen van permanente toegang tot cloudomgevingen via geavanceerde social engineering-tactieken, evenals het kopen van gestolen inloggegevens, het uitvoeren van SIM-swaps en het gebruiken van cloud-native tools.
“Scattered Spider maakt regelmatig gebruik van social engineering-technieken op basis van telefoongesprekken, zoals voice phishing (vishing) en sms-phishing (smishing), om doelwitten te misleiden en te manipuleren. Ze richten zich daarbij vooral op IT-servicedesks en identiteitsbeheerders”, aldus beveiligingsonderzoeker Arda Büyükkaya.
“De cybercriminele groep misbruikt legitieme cloudtools zoals de Special Administration Console en Data Factory van Azure om op afstand opdrachten uit te voeren, gegevens over te dragen en persistentie te behouden zonder detectie.”