17-Jähriger in Verbindung mit Cyberangriff auf Transport for London verhaftet.
Die britischen Behörden haben am Donnerstag die Festnahme eines 17-jährigen Mannes im Zusammenhang mit einem Cyberangriff auf Transport for London (TfL) bekannt gegeben.
„Der 17-Jährige wurde unter dem Verdacht von Verstößen gegen das Computer-Missbrauchsgesetz im Zusammenhang mit dem Angriff festgenommen, der am 1. September auf TfL gestartet wurde“, teilte die britische National Crime Agency (NCA) mit.
Der Teenager, der aus Walsall stammt, soll am 5. September 2024 festgenommen worden sein, nachdem eine Untersuchung in der Folge des Vorfalls eingeleitet wurde. Die Strafverfolgungsbehörde erklärte, dass der nicht namentlich genannte Mann befragt und anschließend gegen Kaution freigelassen wurde.
„Angriffe auf die öffentliche Infrastruktur wie diesen können extrem störend sein und zu schwerwiegenden Konsequenzen für lokale Gemeinschaften und nationale Systeme führen“, sagte Paul Foster, stellvertretender Direktor und Leiter der National Cyber Crime Unit der NCA.
„Die schnelle Reaktion von TfL nach dem Vorfall hat es uns ermöglicht, zügig zu handeln, und wir sind dankbar für ihre fortgesetzte Zusammenarbeit bei unserer Untersuchung, die weiterhin andauert.“
TfL bestätigte inzwischen, dass die Sicherheitsverletzung zum unbefugten Zugriff auf Bankkontonummern und Sortiercodes von etwa 5.000 Kunden geführt hat und dass sie direkt mit den Betroffenen in Kontakt treten wird.
„Obwohl bisher nur sehr wenig Einfluss auf unsere Kunden zu verzeichnen war, entwickelt sich die Situation und unsere Untersuchungen haben ergeben, dass bestimmte Kundendaten abgerufen wurden“, sagte TfL.
Das Londoner Verkehrsunternehmen verlangt zudem, dass etwa 30.000 Mitarbeiter einen IT-Identitätscheck durchführen, indem sie einen Termin an einem bestimmten TfL-Standort vereinbaren, um ihr Passwort zurückzusetzen und persönlich für den Zugriff auf TfL-Anwendungen und -Daten verifiziert zu werden.
„Das umfasst einige Kundennamen und Kontaktdaten, einschließlich E-Mail-Adressen und Wohnadressen, sofern bereitgestellt.“
Es ist erwähnenswert, dass die Polizei der West Midlands zuvor im Juli 2024 einen 17-jährigen Jungen, ebenfalls aus Walsall, im Zusammenhang mit einem Ransomware-Angriff auf MGM Resorts festgenommen hatte. Der Vorfall wurde der berüchtigten Gruppe Scattered Spider zugeschrieben.
Derzeit ist unklar, ob diese beiden Vorfälle sich auf dieselbe Person beziehen. Im Juni wurde ein weiterer 22-jähriger britischer Staatsangehöriger in Spanien wegen seiner angeblichen Beteiligung an mehreren Ransomware-Angriffen, die von Scattered Spider durchgeführt wurden, festgenommen.
Die gefährliche e-crime Gruppe ist Teil eines größeren Kollektivs namens The Com, eines losen Netzwerks verschiedener Gruppen, die sich mit Cyberkriminalität, Hausbesetzungen und physischer Gewalt befassen. Sie wird auch als 0ktapus, Octo Tempest und UNC3944 verfolgt.
Laut einem neuen Bericht von EclecticIQ haben die Ransomware-Operationen von Scattered Spider zunehmend Cloud-Infrastrukturen im Versicherungs- und Finanzsektor ins Visier genommen, was einer ähnlichen Analyse von Resilience Threat Intelligence im Mai 2024 entspricht.
Die Gruppe hat eine gut dokumentierte Geschichte, persistenten Zugang zu Cloud-Umgebungen durch ausgeklügelte Social Engineering-Taktiken zu erlangen, sowie gestohlene Anmeldeinformationen zu kaufen, SIM-Swaps durchzuführen und cloud-native Tools zu nutzen.
„Scattered Spider nutzt häufig telefonbasierte Social Engineering-Techniken wie Voice Phishing (Vishing) und Textnachrichten-Phishing (Smishing), um Ziele zu täuschen und zu manipulieren, wobei sie hauptsächlich IT-Service-Desks und Identitätsadministratoren ins Visier nimmt“, erklärte der Sicherheitsforscher Arda Büyükkaya.
„Die Cyberkriminellen missbrauchen legitime Cloud-Tools wie die Special Administration Console und Data Factory von Azure, um Befehle aus der Ferne auszuführen, Daten zu übertragen und Persistenz aufrechtzuerhalten, während sie eine Entdeckung vermeiden.“
