В Великобритании арестованы двое подростков, предположительно связанных с группировкой Scattered Spider.

[Rehub]

В Великобритании арестованы два подростка, предположительно причастных к кибератаке на транспортную компанию Лондона в августе 2024 года.

18-летний Оуэн Флауэрс (Owen Flowers) из Уолсолла и 19-летняя Талха Джубаир (Talha Jubair) из Восточного Лондона, предположительно являющиеся членами печально известной хакерской группы Scattered Spider, должны сегодня явиться в Вестминстерский магистратский суд.

Флорса ранее арестовывали за предполагаемое участие в атаке на транспортную компанию Лондона в сентябре 2024 года, но после допроса сотрудниками Национального агентства по борьбе с преступностью Великобритании он был освобожден под залог.

С тех пор следователи NCA обнаружили дополнительные доказательства, потенциально связывающие Флауэрса с атаками на американские медицинские компании.

Двое подозреваемых привлечены к ответственности за неправомерное использование компьютерных данных и мошенничество в рамках расследования взлома лондонского агентства общественного транспорта. Кроме того, Флауэрсу предъявлены обвинения в сговоре с целью атаки на сети SSM Health Care Corporation и Sutter Health в США.

«Эта атака привела к значительным сбоям в работе и многомиллионным убыткам для TfL, являющейся частью критически важной национальной инфраструктуры Великобритании», — заявил заместитель директора Пол Фостер, глава Национального отдела по борьбе с киберпреступностью NCA.

«Ранее в этом году NCA предупреждало об усилении угрозы со стороны киберпреступников из Великобритании и других англоязычных стран, ярким примером которых является Scattered Spider».

Министерство юстиции США также предъявило сегодня обвинение Талхе Джубаиру в сговоре с целью совершения компьютерного мошенничества, отмывания денег и мошенничества с использованием электронных средств связи в связи с не менее чем 120 взломами сетей и вымогательскими атаками по всему миру в период с мая 2022 года по сентябрь 2025 года, которые затронули как минимум 47 американских организаций.

В иске, поданном в суд округа Нью-Джерси и обнародованном сегодня, утверждается, что жертвы выплатили Джубаиру и его сообщникам не менее 115 000 000 долларов США в качестве выкупа.

Кибератака на транспортную компанию Лондона
TfL сообщила о кибератаке, произошедшей в августе 2024 года, 2 сентября 2024 года, заявив, что не нашла доказательств утечки данных клиентов.

Хотя атака не повлияла на работу лондонских транспортных служб, она нарушила работу внутренних систем и онлайн-сервисов, а также способность TfL обрабатывать возвраты средств. В последующем обновлении TfL сообщила, что данные клиентов, включая имена, контактные данные и адреса, действительно были скомпрометированы во время инцидента.

 

[????]

Great young man! Very nice.

 

[Rehub]

Двое британских подростков предстанут перед судом по делу о прошлогодней кибератаке на транспортную систему Лондона — расследование связывает инцидент с группировкой Scattered Spider, а убытки Transport for London оценивает в десятки миллионов фунтов. На предварительном заседании обвиняемые подтвердили личности, дальнейшие слушания уже расписаны, и дело движется к разбирательству по существу.

По версии следствия, 19-летний Талха Джубаир из восточного Лондона и 18-летний Оуэн Флауэрс из Уолсолла действовали в сговоре и нарушили положения британского закона о неправомерном доступе к компьютерной информации. Их дело поступило в суд Саутуарк, где судья назначил промежуточное заседание на 21 ноября, а старт процесса — на 8 июня 2026 года. Обвинения последовали после задержаний, проведённых 16 сентября; официальное предъявление обвинений произошло через 2 дня.

Атака, начавшаяся 31 августа прошлого года, нарушала работу сервисов TfL почти 3 месяца. Сбой коснулся отображения актуальной информации по метро, истории поездок в личных кабинетах и проведения платежей в приложении Oyster. В результате компания оценила совокупный ущерб — прямые расходы и потери из-за простоя — в 39 млн фунтов (51,8 млн долларов). После инцидента около 5 тысяч клиентов получили уведомления о возможном несанкционированном доступе к их данным, включая номера банковских счетов, адреса электронной почты и домашние адреса.

Следствие полагает, что к взлому причастны участники киберпреступной группы Scattered Spider. Формально вина подростков не установлена, однако на этой стадии им вменяется сговор с целью совершить несанкционированные действия с компьютерными системами. Впереди — серия процессуальных заседаний, в ходе которых стороне обвинения предстоит обосновать связь фигурантов с атакой и показать, как именно злоумышленники нарушали работу инфраструктуры TfL, а защите — оспорить эти доводы.

Transport for London, в свою очередь, продолжает восстановительные работы и усиливает контроль доступа к критическим системам, акцентируя внимание на мониторинге транзакций и защите персональных данных. На период до слушаний компания намерена взаимодействовать со следствием и информировать затронутых клиентов, тогда как правоохранительные органы пытаются закрепить технические улики, объясняющие масштаб и длительность вмешательства.

Thalha Jubair
Owen Flowers

 

[Rehub]

В Лондоне продолжается разбирательство по громкому делу о кибератаке на транспортную систему британской столицы. Суд рассмотрел первые процессуальные шаги в деле двух молодых людей, обвиняемых в причастности к взлому, который в прошлом году привёл к серьёзным сбоям в работе городского транспорта.

На заседании в уголовном суде Саутварка 19-летний Талха Джубаир и 18-летний Оуэн Флауэрс заявили о своей невиновности. Оба были задержаны осенью по месту жительства в Лондоне и Уолсолле сотрудниками Национального агентства по борьбе с преступностью. После повторного ареста их оставили под стражей. Флауэрс ранее уже попадал в поле зрения правоохранителей после атаки на транспортный оператор в 2024 году, но тогда его отпустили под залог.

После тех событий сотрудники агентства сообщили, что нашли дополнительные сведения, указывающие на возможную причастность Флауэрса к атакам на медицинские организации в Соединённых Штатах. В рамках текущего дела ему вменяют заговор с целью проникновения в сеть SSM Health Care Corporation и попытку аналогичного вмешательства в инфраструктуру Sutter Health. Все обвинения он отрицает.

Джубаиру дополнительно предъявлено обвинение за отказ передать следствию коды доступа к устройствам, изъятым во время обыска. Он тоже не признал свою вину. Американский Минюст в сентябре раскрыл материалы обвинения, где Джубаира связывают с компьютерными преступлениями.

Обоим фигурантам в Англии предъявлены наиболее тяжкие обвинения, связанные с подготовкой несанкционированных действий с компьютерными системами, создающих угрозу для общественной безопасности и национальной инфраструктуры. Максимальное наказание по таким эпизодам достигает пожизненного лишения свободы.

Представитель киберподразделения агентства Пол Фостер отмечал, что расследование затрагивает критически важные элементы городской инфраструктуры и потребовало значительных усилий. Ранее агентство предупреждало о росте активности англоязычных группировок, в том числе группы, известной под названием Scattered Spider, которой приписывают атаки в Великобритании и США.

Прокуратура Соединённого Королевства сообщила, что собрала достаточную доказательную базу для передачи дела в суд, подчеркнув важность его общественного значения. Тем временем подразделение агентства по борьбе с киберпреступлениями задействовано в большом числе расследований, включая инциденты, затронувшие Transport for London, Агентство юридической помощи, две структуры системы здравоохранения, а также сети трёх розничных компаний — Marks & Spencer, Co-op и Harrods. Действующие ограничения на освещение хода процесса запрещают публикации, которые могли бы повлиять на будущее решение присяжных.

 

[Rehub]

Хакерская группировка Scattered LAPSUS$ Hunters, которая в этом году шантажирует десятки корпораций и продаёт украденные данные, оказалась во многом построена вокруг 15-летнего подростка из Иордании. Под ником Rey он выступал техническим лидером и публичным лицом группы, а теперь, после расследования KrebsOnSecurity и разговора с его отцом, его реальная личность, по всей видимости, установлена — и сам подросток утверждает, что сотрудничает с правоохранительными органами.

Scattered LAPSUS$ Hunters (SLSH) считают объединением сразу трёх известных банд: Scattered Spider, LAPSUS$ и ShinyHunters. Их участники пересекаются в англоязычных киберпреступных чатах в Telegram и Discord. В мае 2025 года SLSH запустили масштабную кампанию социальной инженерии: злоумышленники звонили сотрудникам компаний и убеждали их подключить вредоносное приложение к корпоративному порталу Salesforce. Позже группа открыла собственный портал для слива данных и пригрозила опубликовать внутреннюю информацию примерно трёх десятков компаний, у которых, как утверждается, были украдены данные Salesforce. В числе жертв называли Toyota, FedEx, Disney/Hulu и UPS.

Отдельный вымогательский сайт, связанный с ShinyHunters, теперь угрожает слить похищенные данные, если Salesforce или отдельные пострадавшие компании не заплатят выкуп. На прошлой неделе канал SLSH в Telegram опубликовал новый призыв к «инсайдерам» — сотрудникам крупных компаний, готовым за долю от выкупа предоставить доступ к внутренним системам работодателя. Ранее группа уже пыталась искать информаторов, но в этот раз их объявление разошлось по соцсетям на фоне новости о том, что CrowdStrike уволила сотрудника за «слив» скриншотов внутренних систем хакерам SLSH. В CrowdStrike заявили, что инфраструктура компании не была скомпрометирована и что инцидент передан в правоохранительные органы.

До последнего времени участники SLSH в основном пользовались чужими шифровальщиками — из партнерских программ ALPHV/BlackCat, Qilin, RansomHub, DragonForce и других. Но недавно на своём канале группа объявила о запуске собственной схемы «ransomware-as-a-service» под брендом ShinySp1d3r. Эту платформу представил один из ключевых участников SLSH — администратор Telegram-канала под ником Rey. Раньше он был админом сайта для публикации слитых данных Hellcat — группировки, появившейся в конце 2024 года и связанной с атаками на Schneider Electric, Telefónica и Orange Romania.

В 2024 году Rey также возглавил очередную инкарнацию печально известного форума BreachForums, крупной англоязычной площадки для торговли украденными базами и инструментами для взлома. Этот форум уже несколько раз лишался доменов в результате операций ФБР и международных силовиков. В апреле 2025 года Rey публично писал в соцсетях об очередном изъятии доменов BreachForums. 5 октября 2025 года ФБР вновь объявило о захвате доменов площадки, назвав BreachForums крупным криминальным рынком, которым пользуются ShinyHunters и другие для торговли похищенными данными и вымогательства. По словам ведомства, ликвидация сайта «убирает важный узел», через который преступники монетизировали вторжения, искали сообщников и выбирали жертв в разных отраслях.

Как выяснилось, при всей своей опытности Rey допускал серьёзные ошибки операционной безопасности, которые и позволили аналитикам и журналистам выстроить цепочку до его настоящего имени и адреса. По данным Intel 471, под ником Rey он был активным пользователем разных возрождений BreachForums с февраля 2024 по июль 2025 года и оставил более 200 сообщений. Ранее он выступал там под другим псевдонимом — Hikki-Chan, а его первый пост касался данных, якобы украденных у Центров по контролю и профилактике заболеваний США (CDC).

В том же сообщении за февраль 2024 года Hikki-Chan указал для связи Telegram-аккаунт @wristmug. В мае 2024 года этот аккаунт в Telegram-чате «Pantifan» опубликовал скриншот письма-шантажа, где мошенники утверждали, что взломали его компьютер, записали его через веб-камеру во время просмотра порносайтов и угрожали разослать видео всем контактам, если не будет выплачен выкуп в биткоине. Такие массовые рассылки обычно включают реальный пароль, который жертва действительно использовала ранее. Подросток отреагировал на сообщение шутливым «Noooooo, I must be done guys», но при публикации скриншота закрасил только логин почты, оставив видимыми домен @proton.me и старый пароль.

Уникальный 15-символьный пароль из скриншота, по данным сервиса Spycloud, совпал только с одной учётной записью — адресом cybero5tdev@proton.me. Эти данные были дважды украдены в начале 2024 года после заражения устройства владельца информационным стилером, который выгреб все сохранённые логины, пароли и куки. Intel 471 связывает этот email с пользователем BreachForums под ником o5tdev. Поиск по этому нику в Google показывает архивы дефейсов сайтов, где o5tdev оставлял пропалестинские сообщения от имени команды Cyb3r Drag0nz Team.

Специалисты SentinelOne ранее описывали Cyb3r Drag0nz Team как хактивистскую группу, которая проводит DDoS-атаки, дефейсит сайты и публикует базы персональных данных. По их данным, группа заявляла об «утечке данных более чем миллиона граждан Израиля» и выкладывала многотомные архивы с личной информацией. Аналитики Flashpoint, в свою очередь, находят следы Telegram-аккаунта @05tdev, который в 2023 — начале 2024 года был активен в арабоязычных анти-израильских каналах вроде «Ghost of Palestine».

Flashpoint также указывает, что аккаунт Rey в Telegram (ID7047194296) активно общался в криминально-ориентированном канале «Jacuzzi». Там он делился личными деталями: рассказывал, что его отец — пилот авиакомпании, что ему 15 лет и что у семьи есть ирландские корни. В одном из сообщений он публиковал картинку с распространённостью фамилии Ginty, напрямую связывая себя с этим именем.

Spycloud, проанализировав данные украденных учёток, пришёл к выводу, что компьютер Rey — это общий Windows-ПК семьи в Аммане (Иордания). В слитых логинах фигурирует несколько пользователей с одной и той же фамилией Khader и указанным адресом в Аммане. В «автозаполнении» браузера из этих данных есть анкета 46-летнего Zaid Khader, где в поле девичьей фамилии матери значится Ginty. Те же данные показывают частые посещения внутренних сайтов сотрудников авиакомпании Royal Jordanian Airlines — то есть по профилю Zaid действительно похож на пилота национального перевозчика.

Сопоставив эти фрагменты, исследователи пришли к выводу, что под ником Rey скрывается Саиф Аль-Дин Хадер (Saif Al-Din Khader). Не сумев связаться с ним напрямую, KrebsOnSecurity написали письмо его отцу Зайду, объяснив, что его сын, судя по всему, глубоко вовлечён в серьёзный киберпреступный заговор. Спустя меньше двух часов журналист получил сообщение в Signal от самого Саифа: по его словам, отец посчитал письмо очередным скамом и просто переслал его сыну.

Саиф сообщил, что ему скоро исполнится 16 лет, и что о нём уже знают европейские правоохранительные органы. Он утверждает, что пытается выйти из Scattered LAPSUS$ Hunters, но «просто взять и исчезнуть» не может, поэтому сейчас занят тем, чтобы «зачистить всё, с чем он был связан, и двигаться дальше». На вопрос, почему тогда именно он отвечал за запуск новой вымогательской программы ShinySp1d3r, подросток ответил, что это по сути переработанная версия уже существующего шифровальщика Hellcat, дополненная с помощью инструментов ИИ: «Я по сути раздал исходники Hellcat».

По словам Саифа, в последнее время он сам вышел на контакт с аккаунтом Telegram, связанным с операцией правоохранительных органов Operation Endgame — масштабной кампанией против киберпреступных сервисов и их клиентов. Он настаивает, что уже сотрудничает с силовиками «как минимум с июня», и утверждает, что с сентября больше не участвовал «ни во взломах корпораций, ни в вымогательстве».

Подросток просит пока не публиковать о нём историю, утверждая, что это может сорвать его взаимодействие с правоохранительными органами и привлечь к нему «ненужное внимание», особенно если власти США и Европы ещё не вышли на контакт с правительством Иордании. По его словам, полицейские структуры сообщили, что взаимодействуют с несколькими странами по его запросу, но уже «прошла целая неделя» без каких-либо обновлений. Саиф показал скриншот, который должен подтверждать его обращение в Европол в конце прошлого месяца, однако назвать конкретных офицеров или официально подтвердить свои заявления он не смог, и журналистам не удалось их проверить.

«Мне всё равно, я просто хочу выйти из этого всего, даже если это закончится тюрьмой или чем угодно ещё», — сказал он. Пока неясно, чем закончится история подростка, который успел побывать администратором крупнейших киберпреступных площадок и лицом одной из самых громких вымогательских группировок года, но уже пытается договориться с теми, кто охотится за ним и его бывшими сообщниками.