Cyberattacco a Transport for London: ipotesi sui responsabili
10 Ottobre 2024Transport for London (TfL), ente governativo che gestisce i mezzi di trasporto di superficie, la metropolitana e il Crossrail nella capitale britannica, ha subito un cyberattacco. L’arresto del presunto responsabile e le susseguenti ipotesi sull’identità del criminale hanno illuminato un interessante segmento del complesso e fluido contesto in cui operano gli avversari ransomware.
La prima comunicazione ufficiale, pubblicata sul sito di TfL il 2 settembre, riferiva di attività sospette rilevate il giorno precedente. L’operatività dei servizi non è stata impattata e, in un primo momento, non risultava il coinvolgimento delle informazioni dei viaggiatori. L’organizzazione dichiarava di aver preso provvedimenti – tra cui la limitazione dell’accesso ad alcuni servizi di informazioni di viaggio in tempo reale tramite le app e il sito web – e di aver impedito ai passeggeri di visualizzare la cronologia dei viaggi pagati con carte contactless. L’impatto sembrava aver interessato perlopiù i sistemi di backroom presso la sede centrale. Ciò avrebbe comportato, stando ad un articolo della BBC, la richiesta ai dipendenti di lavorare momentaneamente da casa.
In seguito, l’advisory di TfL è stato aggiornato con nuovi dettagli sull’impatto. Le indagini, condotte in collaborazione con la National Crime Agency (NCA) e il National Cyber Security Centre (NCSC), avrebbero riscontrato l’accesso non autorizzato a informazioni inerenti agli utenti, tra cui alcuni nomi e dati di contatto, compresi indirizzi e-mail e fisici. Inoltre, si sospetta che siano stati consultati alcuni dati relativi al rimborso della carta Oyster, fra i quali potrebbero esserci anche i numeri di conti bancari e il Sort Code di circa 5.000 clienti.
A distanza di una decina di giorni dall’incidente, la NCA ha dichiarato di aver fermato un giovane ritenuto il responsabile dell’attacco a TfL. Il ragazzo, che è stato liberato su cauzione, è stato accusato di aver violato il Computer Misuse Act. Un ricercatore specializzato in cybersecurity ha ipotizzato che il sospettato fosse la stessa persona, un diciassettenne di Walsal, arrestata a luglio di quest’anno per un possibile collegamento con un attacco ransomware dell’anno scorso contro MGM Resorts.
L’offensiva ad MGM Resorts è stata attribuita al gruppo criminale Scattered Spider, il quale avrebbe operato come affiliato di ALPHV Team (BlackCat).
Scattered Spider (alias UNC3944 e 0ktapus) è un avversario anglofono motivato finanziariamente, tracciato almeno dall’inizio del 2022. Fra i target delle sue campagne vi sono operatori delle telecomunicazioni, realtà del settore finanziario e legale, provider di servizi tecnologici e gestionali, infrastrutture commerciali e della rivendita al dettaglio, gestori del settore alberghiero e realtà del gaming.
La timeline delle sue attività è stata articolata dagli analisti in tre fasi, in ognuna delle quali strategie e tecniche di attacco sono state progressivamente incrementate e ampliate.
Per tutto il 2022, Scattered Spider ha colpito provider di comunicazioni mobili e di outsourcing dei processi aziendali per effettuare campagne di SIM swapping, finalizzate al furto dei dati. In alcuni casi, ha operato da broker, rivendendo ad altri avversari i dati raccolti, in altri ha utilizzato direttamente le informazioni per effettuare frodi di cryptovalute.
La seconda fase, che copre il periodo tra la fine del 2022 e l’inizio del 2023, ha avuto come target provider di telecomunicazioni via cavo, di posta elettronica e di servizi tecnologici. In questo periodo è stato osservato anche l’utilizzo del broad account takeover per esfiltrare vaste quantità di informazioni. Inoltre, l’avversario ha iniziato a sfruttare i dati rubati a fini estorsivi.
A metà del 2023, Scattered Spider avrebbe effettivamente esteso il campo delle proprie attività con l’affiliazione al team ransomware ALPHV. Inoltre, fra le rivendicazioni pubblicate da quest’ultimo a settembre 2023 compare anche quella di un’offensiva contro MGM Resorts. Al momento, non risulterebbero segnalazioni di ALPHV team relative a TfL.
Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.
Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.
Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.
Scopri di più sui nostri servizi di Threat Intelligence