[English]Die britische Polizei hat zwei mutmaßliche Mitglieder der Hackergruppe Scattered Spider verhaftet. Es sind wohl junge Briten, denen Angriffe auf die britische Polizei sowie das Transportsystem von London vorgeworfen werden. Insgesamt werden der Gruppe 120 Hacks von Computersystemen weltweit zur Last gelegt.
Scattered Spider (oder UNC3944), ist eine Hackergruppe, die sich hauptsächlich aus Teenagern und jungen Erwachsenen, mutmaßlich aus den USA und Großbritannien, zusammensetzt. Die Hackergruppe erlangt 2023 durch Social Media- und Phishing-Angriffe und SIM-Swapping Bekanntheit und soll aus 19 bis 22 Jährigen männlichen Mitgliedern bestehen.
Bereits im Juli 2025 waren vier Verdächtige in Großbritannien verhaftet worden (Vier Verdächtige in Großbritannien wegen Co-op-, Marks & Spencer- und Harrods-Hack verhaftet) und auch in Spanien war im Juni 2024 ein Mitglied (aus Schottland) arrestiert worden (Mutmaßlicher Kopf von Scattered Spider in Spanien verhaftet). Nun gab es weitere Verhaftungen.
Zwei Verdächtige in Großbritannien verhaftet
Zum 18. September 2025 hat die britische National Crime Agency (NCA) die Verhaftung zweier männlicher Personen bekannt gegeben. Es handelt sich um den 19-jährigen Thalha Jubair aus East London und den 18-jährigen Owen Flowers aus Walsall, West Midlands. Beide wurden am Dienstag (16. September) von der NCA und der City of London Police in ihren Wohnungen festgenommen.
Flowers wurde ursprünglich wegen des Angriffs auf TfL am 6. September 2024 festgenommen. Zu diesem Zeitpunkt identifizierten Beamte der NCA, laut dieser Mitteilung, weitere potenzielle Beweise für Straftaten gegen US-amerikanische Gesundheitsunternehmen.
Die Verdächtigen wurden im Rahmen der Ermittlungen der National Crime Agency zu einem Cyberangriff auf die Organisation Transport for London (TfL) identifiziert, verhaftet und nun angeklagt. TfL war am 31. August 2024 Opfer eines Netzwerkangriffs, der nach Ansicht der Ermittler von Mitgliedern der Gruppe Scattered Spider verübt wurde. Die Anklage wirft den Männern vor, an diesem Angriff beteiligt gewesen zu sein.
Beide Verdächtige wurden zum 18. September 2024 vom Westminster Magistrates Court, nach Anklage der Staatsanwaltschaft wegen gemeinschaftlicher Verschwörung zur Begehung unerlaubter Handlungen gegen TfL gemäß dem Computer Misuse Act in Haft genommen.
Flowers wurde zusätzlich auch wegen Verschwörung mit anderen zur Infiltration und Beschädigung der Netzwerke der SSM Health Care Corporation und wegen des Versuchs, dasselbe mit den Netzwerken von Sutter Health zu tun, angeklagt. Beide Organisationen haben ihren Sitz in den USA.
Jubair wurde zusätzlich gemäß RIPA angeklagt, weil er die PIN oder Passwörter für die bei ihm beschlagnahmten Geräte nicht preisgegeben hat. Flowers und Jubair wurden in Untersuchungshaft genommen und sollen beide am 16. Oktober 2025 vor dem Southwark Crown Court erscheinen.
Anklage auch in den USA
Zum 18. September 2025 hat das US-Justizministerium bekannt gegeben, dass eine beim Gericht im Bezirk New Jersey eingereichte Klage veröffentlicht wurde. Der Brite Thalha Jubair wurde wegen Verschwörung zum Computerbetrug, Überweisungsbetrug und Geldwäsche im Zusammenhang mit mindestens 120 Computer-Netzwerk-Einbrüchen und Erpressungen gegen 47 US-Unternehmen angeklagt. In der Klage wird dem Beschuldigten vorgeworfen, von den Opfern mindestens 115.000.000 US-Dollar an Lösegeld erpresst zu haben.
Laut Klageschrift haben Thalha Jubair, auch bekannt als „EarthtoStar", „Brad", „Austin" und „@autistic", sich mit anderen Tätern verschworen, um mithilfe von Social-Engineering-Techniken unbefugten Zugriff auf die Computernetzwerke von US-Unternehmen zu erlangen, Informationen zu stehlen und zu verschlüsseln und von den Opfern Lösegeldzahlungen zu verlangen. Wurde Lösegeld gezahlt, erlangten die Opfer die Schlüssel zum Entschlüsseln und die Verbreitung der exfiltrierten Daten der Opfer wurde wohl unterlassen.
Jubair wird zudem vorgeworfen, mit anderen Tätern die erpressten Gelder zu waschen. Im Oktober 2024 und Januar 2025 beteiligte sich Jubair laut Anklage an einem Plan, um sich unbefugten Zugang zu den Netzwerken eines in den USA ansässigen Unternehmens für kritische Infrastruktur und der US-Gerichte zu verschaffen.
Von Mai 2022 bis September 2025 waren Jubair und seine Komplizen, so die Anklage, an etwa 120 Netzwerk-Einbrüchen beteiligt. Dazu gehören auch der Zugriff auf die Computernetzwerke von mindestens 47 Opfern mit Sitz in den USA. Insgesamt zahlten die Opfer mehr als 115 Millionen US-Dollar an Jubair und seine Komplizen, um ihre Daten wiederherzustellen und deren Offenlegung zu verhindern.
Die Gruppe Scattered Spider nutzte bei ihren digitalen Raubzügen keine 0-Day-Schwachstellen, sondern setzte auf klassische Social Engineering-Techniken. In einem der angeklagten Fälle erlangte die Gruppe Zugang, indem sie um den 8. Januar 2025 den Helpdesk des Netzwerks der US-Gerichte kontaktierten und eine Person dazu veranlassten, das Passwort eines Benutzers zurückzusetzen. Sobald sie sich im Netzwerk befanden, haben die Hacker ) zwei weitere Konten übernommen; und Daten aus dem Netzwerk exfiltriert. Darunter befanden sich die Namen, 15 Benutzernamen, Rollen und Mobiltelefonnummern von Mitarbeitern der US-Gerichte.
Die Hacker nutzten dann die gestohlenen Zugangsdaten, um auf die Konten von drei Nutzern zuzugreifen. Darunter war auch das Benutzerkonto eines Bundesrichters. Sie durchsuchten laut Klageschrift den Posteingang des Richters nach Begriffen wie „Vorladung", dem Namen eines angeklagten Cyberkriminellen und „scattered spider".
Darüber hinaus sollen die Betrüger eines der kompromittierten Konten genutzt haben, um eine Nachricht an einen Finanzdienstleister zu senden, in der sie die dringende Offenlegung von Kundenkontoinformationen forderten. In der Klage werden sieben namentlich nicht genannte Opfer (ein Hersteller, ein Unterhaltungsunternehmen, zwei Einzelhändler, zwei Finanzdienstleistungsunternehmen und ein Unternehmen für kritische Infrastruktur) mit Sitz in den USA aufgeführt.
Die Spur der Kryptogelder
Teile der Lösegeldzahlungen von mindestens fünf Opfern wurden an Wallets auf einem von Jubair kontrollierten Server überwiesen. Im Juli 2024, während die Strafverfolgungsbehörden diesen Server beschlagnahmten – darunter auch Kryptowährungen im Wert von etwa 36 Millionen US-Dollar zum Zeitpunkt der Beschlagnahme –, überwies Jubair einen Teil der Kryptowährung, die von einem der Opfer stammte und zum Zeitpunkt der Überweisung einen Wert von etwa 8,4 Millionen US-Dollar hatte, an ein anderes Wallet.
Den Verhaftungen waren längere Ermittlungen des FBI und der britischen Strafverfolger vorausgegangen (das FBI hat diesen Tweet dazu abgesetzt). The Register berichtet hier, dass jemand Krypto-Gelder aus einer Wallet auf einem Server gestohlen habe, auf dem auch Lösegeldgelder aus den Scattered Spider Hacks gespeichert waren. Mit den Krypto-Geldern wurden Gaming-Gutscheine gekauft, die mit einem Konto auf den Namen von Jubair verbunden waren. Weitere Gutscheine für Essenslieferungen wurden verwendet, um Essen in den Apartmentkomplex zu bestellen, in dem Jubair lebte. The Register legt auch weitere Einzelheiten aus der Klageschrift offen. Der X-Account vxunderground legt in einer Reihe Tweets ebenfalls einige Erkenntnisse aus der Klageschrift offen.
Ähnliche Artikel:
Mutmaßlicher Kopf von Scattered Spider in Spanien verhaftet
Vier Verdächtige in Großbritannien wegen Co-op-, Marks & Spencer- und Harrods-Hack verhaftet
DragonForce: Cybergruppe für Angriffe auf britische Händler und mehr verantwortlich
MVP: 2013 – 2016
