Les autorités britanniques ont annoncé jeudi l’arrestation d’un homme de 17 ans en lien avec une cyberattaque touchant Transport for London (TfL).
« L’homme de 17 ans a été arrêté pour suspicion d’infractions à la loi sur l’utilisation abusive des ordinateurs en relation avec l’attaque lancée contre TfL le 1er septembre », a déclaré l’Agence nationale britannique contre la criminalité (NCA). dit.
L’adolescent, originaire de Walsall, aurait été arrêté le 5 septembre 2024, à la suite d’une enquête lancée à la suite de l’incident.
Les forces de l’ordre ont déclaré que l’individu anonyme avait été interrogé puis libéré sous caution.
« Les attaques contre les infrastructures publiques comme celle-ci peuvent être extrêmement perturbatrices et entraîner de graves conséquences pour les communautés locales et les systèmes nationaux », a déclaré le directeur adjoint Paul Foster, chef de l’unité nationale de cybercriminalité de la NCA.
« La réponse rapide de TfL suite à l’incident nous a permis d’agir vite, et nous sommes reconnaissants de leur coopération continue à notre enquête, qui est toujours en cours. »
TfL a depuis confirmé que la faille de sécurité avait conduit à l’accès non autorisé aux numéros de compte bancaire et aux codes de tri d’environ 5 000 clients et qu’elle contacterait directement les personnes concernées.
« Bien que l’impact sur nos clients ait été très limité jusqu’à présent, la situation évolue et nos enquêtes ont permis d’identifier que certaines données clients ont été consultées », a déclaré TfL. dit.
« Cela inclut certains noms de clients et leurs coordonnées, y compris les adresses e-mail et les adresses personnelles lorsqu’elles sont fournies. »
Il convient de noter que la police des West Midlands avait déjà arrêté un garçon de 17 ans, également de Walsall, en juillet 2024 en lien avec une attaque de ransomware contre MGM Resorts. L’incident a été attribué au tristement célèbre groupe Scattered Spider.
Il n’est pas encore certain que ces deux événements concernent le même individu. En juin dernier, un autre ressortissant britannique de 22 ans avait été arrêté en Espagne pour son implication présumée dans plusieurs attaques de ransomware menées par Scattered Spider.
Ce dangereux groupe de cybercriminalité fait partie d’un collectif plus vaste appelé The Com, un écosystème hétéroclite de divers groupes qui se sont livrés à la cybercriminalité, au squattage et à la violence physique. Il est également connu sous les noms 0ktapus, Octo Tempest et UNC3944.
Selon un nouveau rapport d’EclecticIQ, les opérations de ransomware de Scattered Spider se sont de plus en plus concentrées sur les infrastructures cloud des secteurs de l’assurance et de la finance, faisant écho à une analyse similaire de Resilience Threat Intelligence en mai 2024.
Le groupe dispose d’un historique bien documenté d’accès persistant aux environnements cloud via des tactiques sophistiquées d’ingénierie sociale, ainsi que d’achat d’informations d’identification volées, d’exécution d’échanges de cartes SIM et d’utilisation d’outils natifs du cloud.
« Scattered Spider utilise fréquemment des techniques d’ingénierie sociale par téléphone comme le phishing vocal (vishing) et le phishing par SMS (smishing) pour tromper et manipuler ses cibles, ciblant principalement les services informatiques et les administrateurs d’identité », a déclaré Arda Büyükkaya, chercheuse en sécurité. dit.
« Le groupe cybercriminel abuse d’outils cloud légitimes tels que la console d’administration spéciale d’Azure et Data Factory pour exécuter des commandes à distance, transférer des données et maintenir la persistance tout en évitant d’être détecté. »